ISHACK AI BOT

在当今的数字环境下，组织可以通过运用数据分析为设计新产品或新服务提供思路，从而获得显著的竞争优势。此外，5G和物联网等技术使设备连接到互联网以共享数据变得比以往任何时候都来得容易，这实际上导致了新数据海啸。 研究分析公司Statista预测，到2025年，全球生成的数据总量将达到180泽字节（ZB），这些数据蕴含大量丰富信息（比如信用卡号、社会保障号和专有知识产权），因而成为黑客的诱人目标，而随着数据中心中收集和存储的数据量不断增加，针对它们的网络攻击的创造性和复杂性也随之增加。 中央处理单元（CPU）、图形处理单元（GPU）、存储设备和网卡中的固件是特别诱人的目标，原因是作为电子系统中的基本组件，如果固件被损坏，检测起来极其困难。长期以来，保护这些设备免受那些企图窃取数据的人的攻击一直至关重要。因此，在最庞大的数据中心，像这样的设备现在往往受到了精心保护。 为了寻找其他的潜在漏洞，恶意黑客在企图破坏数据中心时，日益以服务器组件为目标。服务器中许多常见的半导体组件（比如调节启动顺序、风扇控制和电池管理的嵌入式控制器）会遇到固件可能被破坏或被伪造的固件取代的情形，从而获得对服务器上数据的未授权访问，或者破坏服务器的正常操作。 固件攻击之所以特别阴险，是由于服务器组件固件在服务器操作系统运行、任何反恶意软件工具发挥功效之前就已加载。这使得固件攻击很难被发现，一旦发现也很难消除。 然而，许多公司对固件安全并没有给予应有的重视。微软曾委托第三方对IT和安全决策者进行了一项调查，结果发现受访者认为固件安全事件的破坏性与软硬件安全事件几乎一样大，但用于保护固件的安全预算却不到三分之一。 企业必须认真对待其数据中心的固件安全性，否则将面临严重后果。为此，IT和安全团队在固件安全方面应该关注这三个因素。 1. 确保设备真实性 企业在购买后安装的服务器主板、工作负载加速器和附加板由不同的供应商设计，并在全球各地制造。这些设备的供应链易受攻击，非法固件或硬件可能在生产和测试期间的不同环节安装在电路板上，只等毫无防备的客户将受感染的设备安装到服务器中。IT团队必须确保自己能够验证他们添加到服务器上的任何硬件都在按照规范正常运行。 2. 确保代码真实性 数据盗窃并不是固件受损造成的唯一问题，知识产权盗窃也会影响组件制造商的盈利能力和声誉。如上所述，半导体常常在一个国家制造，在另一个国家封装，最后在第三个国家集成到系统中。 由于供应链中有如此多的接触点，肆无忌惮的承包商很容易复制供应商的固件，将其安装在未经授权的芯片上，然后将假货拿到灰色市场上出售。这不仅影响原始供应商的利润，而且如果假货性能低劣，还会败坏其声誉。 3. 确保数据安全性 加密是一种行之有效的保护数据免受未授权访问的方法，但一种新的加密威胁正在引起网络安全界的关注。如果运用得当，量子计算甚至可以破解当今最复杂的加密技术。 如今大多数企业使用128位和256位加密技术，这足以确保数据安全，远离使用传统计算技术的最顽固的攻击者。但量子计算可以以极快的速度处理数据——使用传统计算方法需要几十年才能破解的加密算法可以在短短几天内被量子计算破解。 用HRoT和强大的加密保护固件 在2018年，美国国家标准与技术研究所（NIST）发布了确保平台固件弹性的SP800-193指导原则。据NIST声称，这些指导原则提供了“保护平台免受未授权（固件）更改的安全机制，可以检测发生的未授权更改，并快速安全地在攻击后恢复如初。” NIST SP800-193标准提倡使用“硬件信任根（HRoT）”，以确保在启动过程中加载到服务器组件中的固件在激活之前被验证为是合法的。HRoT组件是服务器启动后启动的第一个组件，它含有验证其自身固件和在HRoT激活后启动的任何组件的固件所需的加密元素。通过在服务器的嵌入式控制器中添加HRoT功能，企业就可以在整个启动过程中全程保护服务器，甚至在操作系统和反恶意软件工具被加载和运行之前加以保护。 NIST还鼓励企业采用更先进的加密算法。2016年，NIST在全球知名的密码学家之间发起了一场竞赛，以研发能够抵御基于量子计算的攻击的算法。去年竞赛结束时NIST宣布了四种新的加密算法，它们将添加到即将启动的后量子加密标准化项目中。 网络安全类似于竭力保护计算机系统的人和企图破坏这些系统的人之间的军备竞赛，后者既包括从事犯罪活动的黑客，还包括政府撑腰的黑客。双方都在不停地较量。固件已成为这场持续斗争的最新战场，而将来在威胁评估和安全计划中未考虑固件这方面的企业会面临风险。

据Check Point Research的调查结果显示，2021年第四季度时，每周的网络攻击数量都呈现激增状态，每家组织受到900多次攻击。据RiskIQ估计，网络犯罪每分钟能给企业组织造成高达179万美元的损失。 随着网络攻击变得越来越复杂，加强网络安全方面仍然行之有效的工具之一是VPN。ExpressVPN等VPN在用户的设备与互联网之间建立了一条经过加密的连接，以防止潜在的拦截。当用户在安全没有保障的公共网络上访问敏感信息时，这一点尤为重要，因为这种公共网络可能会成为滋生中间人攻击的温床。 接下来一起看看13种最具破坏性的网络攻击以及相应的对策。 1. 恶意软件攻击 恶意软件是一种侵入性的程序或文件，旨在利用设备为攻击者所用。它们采用躲避技术，在没有人注意到的情况下安装自己。最常见的恶意软件类型包括以下几种： •rootkit： rootkit在受害者的设备上打开后门，允许攻击者安装另外的恶意软件，或控制网络上的其他设备。 •木马： 木马隐藏在一个看似无辜的电子邮件附件或免费下载件中。一旦安装，它就会执行恶意任务，或为将来的攻击创建后门。 •间谍软件： 间谍软件监视受害者的互联网活动，跟踪登录凭据和敏感信息。 如何避免恶意软件攻击？ 在所有设备上安装最新的反病毒和反恶意软件以应对恶意软件威胁至关重要。定期扫描，并清除潜在的威胁，此外，避免从不明来源下载文件或软件，并提防电子邮件附件和链接，尤其来自未经请求的来源。 2. 密码攻击 密码是一种标准的身份验证方法，因而成为攻击者的主要目标。获取用户密码的各种方法包括蛮力攻击、字典攻击、社会工程伎俩、密码嗅探器、击键记录器以及窃取或购买密码数据库。 如何避免密码攻击？ 加强密码协议至关重要。为每个帐户使用独特的强密码，并尽可能利用多因素身份验证（MFA）。定期更改密码，并考虑使用像LastPass这样的密码管理器以跟踪管理复杂的密码。 3.勒索软件攻击 勒索软件攻击利用设备上的漏洞对重要文件进行加密，向受害者索要赎金以换取解密密钥。这类攻击可以针对服务器，或试图在网络中的其他设备上安装勒索软件。 如何避免勒索软件攻击？ 除了强大的反病毒解决方案外，定期备份重要数据在多个位置，包括离线位置。要时时防范可疑电子邮件的危险，因为网络钓鱼是一种常见的勒索软件投递方法。 4. 分布式拒绝服务（DDoS）攻击 在DDoS攻击中，多个受感染系统攻击一个目标，导致合法用户访问服务被拒绝，大量入站消息或格式错误的数据包会迫使目标系统变慢甚至崩溃。 如何避免DDoS攻击？ 开始使用网络监控工具来检测异常的流量模式，使用互联网应用防火墙，并考虑Cloudflare或Akamai之类的提供商提供的DDoS缓解服务。 5. 网络钓鱼攻击 在网络钓鱼攻击中，攻击者充当信誉良好的实体，分发恶意链接或附件，诱骗受害者交出有价值的信息。鱼叉式网络钓鱼攻击针对特定的个人或公司，而鲸钓攻击针对高级管理人员。 如何避免网络钓鱼攻击？ 培训和意识计划可以教用户识别网络钓鱼企图。此外，使用电子邮件过滤器来检测和阻止网络钓鱼电子邮件，并定期更新软件，以修复网络钓鱼企图可能利用的漏洞。 6. SQL注入攻击 数据库驱动的网站容易受到SQL注入攻击。恶意请求可以创建、篡改或删除数据库中存储的数据，并提取敏感数据。 如何避免SQL注入攻击？ 在访问数据库时使用参数化查询和存储过程，定期检查和更新互联网应用程序，以修补任何漏洞。 7. 跨站脚本（XSS）攻击 当不受信任的来源将其代码注入到互联网应用程序时，就会发生XSS攻击。这允许攻击者在另一个用户的浏览器中执行恶意脚本。 如何避免XSS攻击？ 始终对互联网应用程序的用户输入进行验证和净化，利用安全标头和内容安全策略来限制恶意内容的执行。 8. 中间人（MITM）攻击 在中间人攻击中，攻击者秘密拦截双方之间的消息，而双方以为自己与对方是在直接通信，攻击者可以在消息发达到目标接收者之前对消息做手脚。 如何避免中间人攻击？ 始终使用加密HTTPS之类的连接。针对内部通信，可以考虑使用VPN，针对个人浏览，请始终验证网站的SSL证书。 9. URL解释/URL投毒 黑客可以篡改URL来试图访问他们无权访问的信息或资源。如果攻击者设法通过对URL做手脚来访问特权资源，这叫作不安全的直接对象引用。 如何避免URL投毒攻击？ 确保互联网应用程序验证并清理所有输入。实施适当的访问控制措施，并利用安全机制来限制未经授权的访问。 10. DNS欺骗 黑客用虚假条目覆盖DNS服务器和解析器上存储的IP地址，因此用户被定向到黑客控制的网站，而不是合法网站。 如何避免DNS欺骗攻击？ 定期更新和修补DNS服务器。使用DNS安全扩展（DNSSEC）对接收到的DNS数据进行真实性验证。 11. 僵尸网络攻击 僵尸网络是由联网设备组成的网络，这些设备被网络犯罪分子感染并远程控制。它们经常被用来发送垃圾邮件、参与点击欺诈活动，并为DDoS攻击生成恶意流量。 如何避免僵尸网络攻击？ 安装和更新可以检测和删除僵尸程序恶意软件的反病毒软件。定期监测网络流量，以识别与僵尸网络一致的模式。 12. 水坑攻击 在水坑攻击中，攻击者将恶意代码嵌入到合法但不安全的网站中。当有人访问该网站时，代码会自动执行并感染他们的设备。 如何避免僵尸网络攻击？ 及时更新所有软件和浏览器。使用网络监控工具检测异常的出站流量。考虑使用威胁情报服务，及时了解已知的受威胁网站。 13. 内部威胁 员工和合同工有权访问组织的系统。这可以用于访问受限制的资源、更改系统配置或安装恶意软件。 如何避免内部威胁？ 定期审计系统访问和权限可以识别潜在的内部威胁。培训计划还可以向员工表明安全的重要性以及与疏忽或恶意行为相关的风险。 结论 越来越多的联网人员和设备使得网络成为网络攻击的重要目标，因此安全团队必须了解不同类型的网络攻击是如何工作的，并实施缓解控制措施和策略，以最大限度地减小破坏。安全意识培训、纵深防御策略、端到端加密、主动监控和精心演练的响应计划是需要考虑的几个关键因素。

随着计算能力的进步，后量子威胁正变得愈发现实。一些安全专家认为，“Q日”将在未来十年内出现，届时在当前的加密协议下，所有数字信息都可能受到攻击。 因此，随着安全社区致力于理解、构建和实现能够抵御未来后量子威胁和攻击的密码加密，后量子加密（Post-quantum cryptography，PQC）在议程上的重要性日益凸显。 以下是今年推出的11个值得注意的计划、项目、标准和资源，以帮助创建/开发PQC并迁移到PQC。 1. IETF成立工作组协调抗量子加密协议 今年1月，互联网工程任务组（IETF）启动了后量子协议使用（PQUIP）工作组，以协调不受大型量子计算机影响的加密协议的使用。PQUI联合主席Sofia Celi表示，工作组的想法是成为从运营和工程方面讨论PQC的常设场所。这也是讨论IETF协议中与PQC相关问题的最终场所。 IESG表示，该工作组是在试验性的基础上成立的，并打算在两年内对其进行审查，以决定是否继续重新租用或关闭。今年8月，该小组发表了《针对工程师的后量子密码学（Post-Quantum Cryptography for Engineers）》论文，概述了当前的威胁形势，以及旨在帮助预防这些威胁的相关算法。 2. 英国发布国家量子战略以引导技术标准 今年3月，英国政府发布了一项新的国家量子战略，详细介绍了引领量子经济的“10年计划”，并深刻认识到量子技术对英国安全的重要性。 该战略概述了英国将与相关全球机构合作，确保全球量子技术标准，促进其繁荣并保障其安全利益，包括加速量子技术的商业化以及支持英国本地的相关企业。 英国还将与主要合作伙伴合作，确定协调国家参与量子技术标准制定优先领域的最佳方法。相关行业和学术界将参与这些工作，以跟踪优先标准活动，提高利益相关者的意识，并制定路线图，以支持英国参与量子标准的开发。 该战略称：“全球正在进行一些早期的量子标准化活动，重点关注量子安全加密和量子密钥分发（QKD），英国在这些领域处于领先地位。” 3. QuSecure首次通过星链实现星地量子弹性加密通信 今年3月，抗量子网络安全供应商QuSecure声称已经实现首个端对端量子抵御加密通信星链，这标志着美国卫星数据传输首次使用抗量子密码技术，免受经典和量子解密攻击。 据悉，这一突破性进展是QuSecure与领先的全球系统集成商和安全提供商GSI合作完成的，通过星链（Starlink）卫星实现星地的量子安全通信。该供应商表示，这一点很重要，因为卫星和地面站之间共享的数据通过空中传输，传统上很容易被盗，这使得卫星通信比典型的互联网通信更容易被获取。 4. QuSecure和埃森哲合作完成了多轨道数据通信测试 同月晚些时候，QuSecure宣布与埃森哲合作，成功实现了首个使用抗量子安全技术（PQC）保护的多轨道数据通信测试。这一突破表明，通过埃森哲促进的低地球轨道（LEO）数据传输实现加密敏捷性是真实可行的。 在此之前，来自多轨道卫星的数据可以通过经典手段和足够强大的量子计算机收集和破解。但是，最新的技术可以通过切换到地球同步卫星（GEO），并再次传回地球，以模拟在单个轨道中卫星受到威胁、故障或遭受攻击时的冗余备份方案。 这一结果是通过埃森哲协助的LEO数据传输实现的。整个传输使用传统网络安全和QuSecure 的QuProtect TM平台的量子弹性网络安全进行保护，所有这些都没有在卫星上安装软件，这表明QuProtect能够通过软件层升级现有硬件上的安全通信。 现在，QuSecure和埃森哲可以帮助组织通过太空中的多个轨道进行实时、更安全（从经典和量子安全的角度来看）的通信和数据传输。传统公钥基础设施中的QuSecure量子安全层 （QSL）可以保护LEO卫星通信（350-2,000 公里高度）的灵活性、速度和丰富性。 5. NCCoE为采用新的PQC算法做准备 今年4月，由公共和私营部门网络安全专家组成的美国国家网络安全卓越委员会（NCCoE）发布了一份关于采用新的PQC算法的准备工作的出版物草案。NCCoE表示，它将与行业合作者、受监管的行业部门和美国政府合作，提高人们对迁移到后量子算法所涉及问题的认识，并为加密社区的迁移做好准备。 6. PQShield支持PQC迁移以实现先进的侧信道安全 今年5月，PQC标准公司PQShield与领先的IT服务、咨询和业务解决方案组织塔塔咨询服务公司（TCS）签署了一份谅解备忘录（MoU），以帮助客户过渡到量子安全解决方案。该公司还宣布与侧信道分析和测试工具提供商eShard合作，以进一步加快PQC的高级侧信道安全实施，这对各行业的高安全性标准至关重要。 在咨询方面，PQShield世界领先的专业知识和产品将用于支持TCS的客户，这些客户正在努力实现密码基础设施的现代化并迁移到后量子密码。通过与TCS合作，企业将能够简化他们的加密现代化工作，最大限度地降低风险，并全面保护他们的业务。 在侧信道分析方面，与侧信道分析和测试工具的领先供应商eShard合作，扩展了PQShield现有的工作，以在芯片、应用程序和云中提供可信和高度安全的量子安全加密实现，已经与合作伙伴Riscure建立了一个专门的侧信道攻击测试实验室。 PQShield首席执行官兼创始人Ali El Kaafarani表示：“鉴于大型组织的加密基础设施的庞大性质以及对安全通信的依赖，量子计算机对它们构成了特别的威胁。随着越来越多的企业意识到问题的紧迫性，并寻求解决方案，我们看到商业格局发生了重大变化。” 7. X9宣布主动创建PQC评估指南 X9 Inc.是一家获得美国国家标准协会（ANSI）认可的非营利组织，今年6月，它宣布开发一份新的技术报告——后量子密码（PQC）评估指南。该报告将提供目标和评估标准。 向PQC算法的密码学过渡不仅会影响金融业，还会影响X9标准。评估指南制定的一部分将是确定需要更新以包括PQC的X9标准，该指南将作为PQC过渡下一阶段的路线图。 完成后，X9指南可能会被组织用作自我评估工具、第三方服务提供商的非正式评估或合格信息安全专业人员的独立评估，审计师或监管机构可能会参考这些评估指南。该指南也可能是加密敏捷性标准化的基础。 8. 谷歌Chrome浏览器部署抗量子加密技术 今年8月，谷歌Chrome浏览器在其最新版本中部署了混合后量子密钥协议，旨在在建立安全的TLS（传输层安全协议）网络连接期间保护对称加密数据的共享。据谷歌Chrome安全技术项目经理Devon O'Brien透露，从Chrome 116版本开始，浏览器将支持X25519Kyber768混合后量子密钥协议。 据悉，谷歌Chrome混合后量子密钥协议X25519Kyber768结合了两种加密算法——X25519 与Kyber-768——来创建用于会话的密钥。其中，X25519是一种椭圆曲线算法，如今广泛用于TLS中的密钥协商。Kyber-768是一种抗量子密钥封装方法，是美国国家标准技术研究院（NIST）公布的首批4个后量子密码标准算法（PQC）中的其中之一。 Pareekh Consulting首席分析师Pareekh Jain表示：“谷歌宣布保护Chrome中的加密密钥不受量子计算机攻击的决策是极具前瞻性的。虽然，量子计算机的真正应用还需要几年的时间，但信息被解密也只是时间问题而已。” 9. NIST发布全球框架PQC标准草案 今年8月，美国国家标准与技术研究院（NIST）发布了后量子密码学（PQC）标准草案，旨在形成一个未来的全球框架，以帮助组织保护自己免受未来的量子网络攻击。这些标准是由NIST经过七年的过程选定的，该过程始于该机构向PQC标准化过程发出公众呼吁。NIST呼吁公众对三个联邦信息处理标准草案(FIPS)进行反馈，这些草案是基于先前选择的四种加密算法。 所选择的公钥封装机制是CRYSTALS-KYBER，以及三种数字签名方案：CRYSTALS-Dilithium、FALCON和SPHINCS+。NIST表示，这些算法将能够在可预见的未来很好地保护美国政府的敏感信息，包括在量子计算机出现之后，被整合到三个FIPS中：FIPS 203、FIPS 204和FIPS 205。 10. CISA、NSA、NIST发布PQC迁移资源 今年8月，美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）和国家标准与技术研究院（NIST）发布了一份关于量子能力影响的简报。它敦促所有组织——特别是那些支持关键基础设施的组织——通过制定自己的量子准备路线图，开始尽早规划向PQC标准的迁移。 《量子准备：向后量子加密技术的迁移》（Quantum-Readiness: Migration to Post-Quantum Cryptography）概述了组织如何准备加密清单，与技术供应商合作，以及评估其供应链对系统和资产中易受量子攻击的加密技术的依赖。该简报还为其产品支持使用易受量子攻击的加密技术的技术供应商提供了建议。 美国国家安全局网络安全主管Rob Joyce表示：“PQC关乎的是积极开发和建设能力，以确保关键信息和系统不会因使用量子计算机而受到损害。向安全量子计算时代的过渡是一项长期而密集的社区努力，需要政府和行业之间的广泛合作，关键是今天就开始这段旅程，不要等到最后一刻。” 11. 技术社区组建PQC联盟，以推动PQC的理解和采用 9月，一个由技术专家、研究人员和专家从业者组成的社区发起了PQC联盟，以推动PQC算法在更广泛的理解和公众采用方面取得进展。创始联盟成员包括IBM Quantum、微软、MITRE、PQShield、SandboxAQ和滑铁卢大学。 PQC联盟将运用其集体技术专长和影响力，促进PQC在商业和开源技术中的全球采用。联盟成员将贡献他们的专业知识来激励和推进互操作标准和技术方法，并提供关键的推广和教育。 该联盟的侧重点包括以下几个方面： 1.推进与PQC迁移相关的标准； 2.创建技术材料以支持教育和劳动力发展； 3.生成和验证开源的、产品质量的代码，并为垂直行业实现抗侧信道代码； 4.确保加密的灵活性。

近日，有网友发现华为、荣耀、Vivo旗下智能手机和平板设备对用户发出安全威胁告警，称Google app被检测到“TrojanSMS-PA”类恶意软件，建议用户尽快删除。 当用户点击安全告警消息的详情时，提示检测到该app秘密发送短信，引诱用户支付成人内容订单、下载和安装APP、窃取隐私信息等风险，这将引发用户财产损失和隐私泄露，建议用户立即卸载该APP。 目前该问题已被多个用户报告给了谷歌支持论坛、Reddit、华为论坛以及其他安卓社区。BleepingComputer联系了谷歌以确认是否是最近更新导致了这一问题，但发言人称Google Play Protect未触发这样的告警信息。谷歌称安全告警信息看似是来自于非官方渠道（Google Play）下载的APP导致的，建议联系设备厂商以获得更多信息。 BleepingComputer在预装了谷歌应用的华为设备上也看到了告警消息，这意味着谷歌的回应并不能完全解释这一问题。BleepingComputer确认华为设备上的告警信息是由 'Huawei Optimizer'（华为自带手机管家）展示的，目前还不清楚荣耀和Vivo手机上的告警消息是由哪个APP展示的。

针对工业控制系统（ICS）的网络攻击正呈上升趋势，并且比以往任何时候都更普遍、更具创意、更迅速。因此，了解攻击者的策略至关重要。 IBM安全《2023年X-Force威胁情报指数》强调，能够远程访问ICS系统的后门部署是2022年最常见的攻击行为类型。好消息是，67%通过后门部署勒索软件的企图被防御者挫败了，防御者赶在勒索软件执行之前就成功破坏了后门。 只要攻击者发现任何一个漏洞，他们就会立即利用它。根据IBM的报告指出，虽然已知漏洞的比例在过去几年中下降了10个百分点，但网络犯罪分子仍然可以利用超过78,000个已知漏洞。这种访问使得利用旧的、未打补丁的漏洞变得更容易，同时也突出了对定义良好的漏洞管理策略的需求，包括更好地了解攻击面和基于风险的补丁优先级。 组织在意识到这些威胁后，纷纷加强对ICS的细致防护，许多公司尤其鼓励他们的ICS安全专业人员利用业内备受赞誉的技术资源提供商来磨练其技能。这些资源还可以帮助IT网络安全人员了解工业环境，获悉工业流程安全及正常运行相关网络控制的最佳实现方法。 为了实现这一目标，ICS专业人员可以使用以下7项技术资源来培训和持续教育他们的团队，从而更好地捍卫组织的ICS。 1.全球信息保障认证（GIAC） 传送门：https://www.giac.org/ 在State of Security认证的“11家备受推崇的IT安全培训机构”中，全球信息保障认证（GIAC）为有抱负的安全专业人士提供了30多种认证。对于从事工业安全工作的人员来说，应该特别考虑获得以下三个认证： 全球工业网络安全专家（GICSP），这是一个供应商中立的项目，旨在教导参与者如何平衡IT、工程和数字安全，从而保护工业控制系统。 响应与工业防御（GRID），旨在教导参与者如何采取主动防御方法来保护ICS网络。 关键基础设施防护（CIP）认证，旨在帮助ICS安全专业人员提高自身对NERC定义的术语和CIP标准的理解与实现。 2. 网络安全和基础设施安全局（CISA）工业控制系统 传送门：https://www.cisa.gov/topics/industrial-control-systems 提高ICS的安全性和弹性是CISA的首要任务之一。作为负责帮助关键基础设施合作伙伴管理ICS安全风险的主要联邦机构，CISA与政府和行业合作部署技术和实践，以保护关键基础设施免受当今的威胁，同时建立创新能力以防御即将出现的威胁。 CISA提供广泛的免费产品和服务，以支持ICS社区的网络安全风险管理工作。 感兴趣的人员可以访问所有CISA ICS服务产品的完整目录，以了解所列每种服务的详细信息。 3. 工业控制系统信息共享与分析中心（ICS-ISAC） 传送门：http://ics-isac.org/ 工业控制系统信息共享与分析中心（ICS-ISAC）是个非营利性组织，其使命是“为会员和相关行业提供其设施所需的网络安全相关实用信息”。该中心的会员可以利用实时情报馈送掌握自身工业控制系统面临的最新数字安全威胁，还可访问安全会员门户，协调他们的防御措施，参与网络研讨会、例行会议，并获取关于新兴威胁的定期简报。 会员还可以查阅数十个独立的知识中心提供的额外信息。 4. 国际自动化协会（ISA） 传送门：https://www.isa.org/ 作为自动化联合会的一部分，国际自动化协会（ISA）是一个非营利组织，为全球成千上万的工业安全专业人员和其他自动化人员提供服务。 ISA与美国国家标准协会合作，制定了各种标准，规定了基本的ICS术语和概念，ICS安全系统要求和安全级别（IEC 62443）以及创建ICS安全计划所需的步骤。该组织通过劳动力开发、培训计划和专业证书跟踪来促进对这些标准的安全意识。 ISA提供的其他工业安全系统资源可以在其网站的technical-topics/cybersecurity/cybersecurity-resources/路径下找到。 5. 国家标准与技术研究所（NIST） 传送门：https://www.nist.gov/ 美国国家标准与技术研究所（NIST）是美国政府的一个非监管机构，致力于推进计量科学、标准与技术。该研究所负责开发《工业控制系统（ICS）安全指南》：NIST特别出版物800-82，在撰写本文之时，这份出版物已经历经两次修订，且第三次修订刚刚通过公众评论。该文档为专业人员如何保护由SCADA系统，分布式控制系统（DCS）和其他控制系统配置（如可编程逻辑控制器）组成的ICS网络提供了指导，并同时观测各个系统的性能、可靠性和安全要求。 6. SANS研究所 传送门：https://www.sans.org/ 作为另一个State of Security认证的“11家备受推崇的IT安全培训机构”，SANS研究所提供由SANS认证的导师指导的教室培训，可以在线自学或由老师辅导。 工业安全人员可以通过SANS完成多门课程，来提升他们的职业生涯，其中包括与GIAC合作的两门课程，以获得GICSP和GRID认证。他们还可以研读SANS图书馆中的分析师调查、白皮书和用例，以及关注SANS工业控制系统安全博客，利用闲暇时间加深对知识的理解。 7. 信息安全研究所 传送门：https://www.infosecinstitute.com/ 信息安全研究所（Infosec Institute）是圣智集团（Cengage Group）的一部分，旨在为所有个人提供成功所需的资源和技能。该研究所通过在线、点播或现场直播的数百个动手实验室、新兵训练营和基于角色的学习路径，帮助安全专业人员提高技能并获得认证。所有信息安全培训都直接映射到NICE网络安全劳动力框架，指导从业人员实现从初学者到专家的成长，范围跨越52个工作角色。 信息安全课程包括ICS/SCADA基础学习路径，使专业人员能够了解ICS操作和安全的基础知识，从组成系统的基础设施和设备到管理操作及其维护的架构、政策和标准等。

英国政府在一份报告中警告说，到2025年，人工智能可能会加剧网络攻击的风险，破坏公众对网络内容的信心，报告还指出，恐怖分子还可能会利用这项技术策划化学或生物袭击，然而，还有一部分专家对技术是否会像预测那样发展表示怀疑。 预计本周总理苏纳克（Rishi Sunak）将会强调技术所带来的机遇和威胁。 在政府报告中分析了生成式人工智能，这种技术目前为大量的使用图像生成软件和聊天机器人提供了动力。 报告还指出，到2025年，人工智能可能会带来更快、更强、更广泛的网络攻击。英国皇家联合服务研究所的约瑟夫-贾内基（Joseph Jarnecki）表示，黑客可以利用人工智能（AI）成功模仿政治语言。这带来了很大的挑战，因为政治术语会有其特定的语调，黑客发现利用起来很棘手。 这份报告是在苏纳克发表讲话之前发布的，苏纳克在讲话中详细阐述了英国政府保障人工智能安全并将英国定位为该领域全球领导者的想法。尽管苏纳克承认人工智能具有提高经济增长和解决问题能力的潜力，但他也强调有必要解决随之而来的各种风险和焦虑。 苏纳克先生可能会这样说，人工智能将带来新的知识、新的经济增长机遇、新的人类能力进步，以及解决我们曾经认为无法解决的问题的机会。但它也会带来新的危险和新的恐惧。 此外，前沿的人工智能或高度先进的新的技术将在政府峰会上进行讨论，关于这些技术是否会对人类造成危害，目前仍有争议。政府科学办公室最近发布的另一份报告指出，许多专家认为这种风险不太可能发生，而且发生的可能途径也不多。 人工智能需要对金融或军事系统等重要系统产生影响，才能威胁到人类的生存，人工智能还需要开发新的能力，如自主、自我完善和躲避人类监控的能力。不过，报告也承认，对于未来何时可能出现具体的能力，各方意见不一。

OpenAI新的GPT-4V版本支持图像上传后，带来了一条全新的攻击途径，使大型语言模型（LLM）容易受到多模态注入图像攻击。攻击者可以在图像中嵌入命令、恶意脚本和代码，随后模型会遵从行事。 多模态提示注入图像攻击可以泄露数据、重定向查询、生成错误信息，并执行更复杂的脚本以重新定义LLM如何解释数据。它们可以改变LLM的用途，使其忽略之前设置的安全护栏，执行可能危及企业组织的命令，从而构成从欺诈到操作破坏的各种威胁。 虽然所有已采用LLM作为工作流程一部分的企业都面临险境，但那些依赖LLM来分析和分类图像作为其业务核心一部分的企业面临最大的风险。使用各种技术的攻击者可以迅速改变解释和分类图像的方式，因错误信息而酿成更混乱的结果。 一旦LLM的提示被覆盖，它对恶意命令和执行脚本更加视而不见的可能性就会变得更大。通过在上传到LLM的一系列图像中嵌入命令，攻击者可以实施欺诈和操作破坏，同时促进社会工程攻击。 图像是LLM无法防御的攻击途径 由于LLM在其处理过程中没有数据清理这个步骤，因此每个图像都是可信赖的，就像在没有对每个数据集、应用程序或资源进行访问控制的情况下，任由身份在网络上自由漫游很危险，上传到LLM中的图像同样很危险。 拥有私有LLM的企业必须采用最小特权访问作为一个核心网络安全策略。 Simon Willison在最近的一篇博文（https://simonwillison.net/2023/Oct/14/multi-modal-prompt-injection/）中详细解释了为什么GPT-4V是提示注入攻击的主要途径，并表示LLM从根本上来说很容易上当受骗。 Willison展示了提示注入如何能劫持Auto-GPT之类的自主人工智能代理。他解释了一个简单的视觉提示注入如何从嵌入在单单一个图像中的命令开始，随后变成了一起可视化提示注入渗透攻击。 BDO英国公司的数据分析和人工智能高级经理Paul Ekwere表示：“提示注入攻击对LLM的安全性和可靠性构成了严重威胁，尤其是处理图像或视频的基于视觉的模型。这些模型被广泛应用于人脸识别、自动驾驶、医疗诊断和监控等各个领域。” OpenAI还没有拿出对付多模态提示注入图像攻击的解决方案——用户和企业只能靠自己。英伟达开发者网站上的一篇博文（https://developer.nvidia.com/blog/mitigating-stored-prompt-injection-attacks-against-llm-applications/）提供了规范性指导，包括对所有数据存储和系统强制执行最小权限访问。 多模态提示注入图像攻击的工作原理 多模态提示注入攻击利用了GPT-4V处理视觉图像方面的漏洞，以执行未被检测到的恶意命令，GPT-4V依靠视觉转换编码器将图像转换成潜在空间表示，图像和文本数据被结合起来以生成响应。 模型没有在编码之前对视觉输入进行清洗的方法。攻击者可以嵌入任意数量的命令，GPT-4会认为它们是合法的命令。自动对私有LLM进行多模态提示注入攻击的攻击者不会被注意到。 遏制注入图像攻击 令人不安的是，图像这条未受防护的攻击途径的问题在于，攻击者可能会使LLM训练的数据随着时间的推移变得不那么可信，数据保真度也会渐渐降低。 最近的一篇研究论文（https://arxiv.org/pdf/2306.05499.pdf）提供了关于LLM如何更好地保护自己免受提示注入攻击的指导方针，为了确定风险的程度和潜在的解决方案，一组研究人员试图确定攻击在渗入整合LLM的应用程序方面的有效性。研究小组发现，31个整合了LLM的应用程序容易受到注入的影响。 该研究论文就遏制注入图像攻击提出了以下建议： 1. 改进用户输入的清洁和验证 对于在私有LLM方面奉行标准化的企业来说，身份访问管理（IAM）和最小特权访问是基本配置。LLM提供商需要考虑如何在传递图像数据进行处理之前先进行更全面的清洁。 2. 改进平台架构，将用户输入与系统逻辑分离 目的应该是消除用户输入直接影响LLM代码和数据的风险。任何图像提示都需要加以处理，以免影响内部逻辑或工作流程。 3. 采用多阶段处理工作流程，以识别恶意攻击 创建一个多阶段流程以尽早捕获基于图像的攻击，这有助于管理这条威胁途径。 4. 定制防止越狱的防御提示 越狱是一种常见的提示工程技术，用于误导LLM执行非法行为，将提示附加到看起来恶意的图像输入中有助于保护LLM。然而研究人员警告说，高级攻击仍然可以绕过这种方法。 一种势头迅猛的威胁 随着更多的LLM变成多模态模型，图像正成为攻击者可以依赖的最新威胁途径，以绕过和重新定义护栏。基于图像的攻击严重程度不一，有的是简单的命令，有的是比较复杂的攻击场景（造成工业破坏和散布广泛的错误信息是目的）。

尽管组织采取了多种保护措施，但涉及个人身份信息 (PII) 的数据泄露仍然给各行业造成巨大的财务损失。根据IBM Security 发布的2023 年数据泄露成本报告，2022 年 3 月至 2023 年 3 月期间，受损的客户和员工 PII 每条记录给组织造成的损失分别为 183 美元和 181 美元。 匿名化是最有效的数据保护措施之一，可以防止个人数据泄露，或者至少降低每条个人数据记录被泄露的成本。在本文中，我们将了解什么是数据匿名化，检查其类型和主要挑战，并为您提供组织中数据匿名化的最佳实践。 什么是数据匿名化？ 数据匿名化是将敏感个人信息转换为无法链接到特定人员的匿名数据的过程。此过程涉及删除或编辑 PII。根据个人的独特性和识别的难易程度，PII 可分为两类： 数据匿名化可帮助公司保护客户、员工或合作伙伴敏感信息的隐私，同时仍允许他们将其用于商业目的。因此，如果恶意行为者设法破坏之前匿名的数据，他们将无法轻松识别该数据的所有者。反过来，数据匿名化有助于防止身份盗窃、财务欺诈、跟踪和骚扰、歧视以及其他隐私侵犯行为。 根据Verizon 的 2023 年数据泄露调查报告，个人数据是以下行业中最常见的泄露数据类型： 各行业仍然因数据泄露而丢失大量个人数据。上述统计数据强调了实施量身定制的个人数据保护措施的重要性。 个人数据泄露不仅意味着组织的安全漏洞，还可能导致客户信任和收入损失、违规罚款和法律责任。 通过从收集的数据中隐藏或删除 PII，组织可以最大限度地减少因未经授权访问内部数据资产而造成的损害。这就是匿名化的目的。 数据匿名化的类型 数据的匿名化可以通过多种方式进行。让我们看一下最常见的数据匿名化技术。 数据屏蔽涉及通过打乱字符、替换单词或字符或对其进行加密来更改数据。该技术有助于生成数据资产的虚假但真实的版本。 合成数据生成用于基于真实数据集制作人工数据集，同时保留原始数据的统计属性。该方法可以在不影响 PII 的情况下进行全面的测试、分析和数据共享。 数据泛化通过用更广泛、更一般的细节替换特定数据来降低敏感信息的可识别性。它允许删除某些标识符，同时保持数据准确性。 数据交换涉及用虚构但相似的值替换真实的数据元素。这种类型的匿名化破坏了数据与其所代表的个人或实体之间的任何直接联系。 给数据添加噪声在于向数据中引入随机或不相关的信息。如果发生数据泄露，这种方法使恶意行为者很难区分真实数据和随机添加的数据。 假名化是一种基于用假名替代PII的去标识化方法。在删除标识符的同时，假名化仍然允许将假名数据用于合法目的。 无论您选择哪种方法对组织中的数据进行匿名化，您仍然可能会遇到某些问题。继续阅读以了解数据匿名化的最大挑战。 数据匿名化的主要挑战 有效的匿名化可以成为企业有价值的见解和个人数据隐私威胁之间的障碍。然而，实施有效的匿名化并不像您想象的那么容易。让我们仔细看看组织在匿名数据时经常面临的挑战： 平衡隐私和实用性 在数据匿名化和数据效用之间取得平衡至关重要，但也非常具有挑战性。一方面，有效的匿名流程对于保护客户、员工和其他用户的隐私至关重要。因此，从数据中完全删除 PII 的匿名技术和工具对于维护您收集数据的个人的隐私非常有益。 另一方面，企业收集和使用具有研究、分析和决策价值的数据也很重要。事实上，完全匿名的数据可能对您的业务几乎没有任何价值，这使得数据收集和处理完全无关。 组织的最终目标是实现并维持最大程度的隐私保护，同时保持足够的数据准确性。实现该目标可能需要对数据匿名化过程进行持续评估和优化。 防止重新识别 除非您使用匿名技术一劳永逸地删除 PII，否则始终存在使用匿名数据追踪特定人员的风险。 恶意行为者利用大量攻击来重新识别人员身份，甚至使用匿名数据。例如，如果他们设法访问包含财务信息的匿名数据集，他们可以将其与其他数据集（例如选民登记数据库）结合起来，并最终执行重新识别。 因此，组织必须确保从客户、员工和其他用户收集的信息的隐私。为了加强对数据隐私的保护，可以考虑将匿名化与其他数据安全方法相结合。 遵守数据安全要求 各种数据保护要求定义了组织应如何收集、存储和处理个人信息。其中一些建议使用匿名技术，例如： 一般数据保护条例 (GDPR) – 一项欧盟法规，不强制要求数据匿名，但鼓励使用匿名技术以及其他保护措施来保护数据。 加州消费者隐私法案 (CCPA) – 一项美国法律，强制组织对收集的数据进行匿名化处理，以增强数据的隐私性。它还要求组织拥有一切必要的手段来保持数据匿名并防止重新识别。 个人信息保护和电子文档法案 (PIPEDA) – 一项加拿大法律，要求组织保护个人信息并将匿名列为数据保护方法之一。 这些立法均规定其要求不适用于无法通过任何方式重新识别的完全匿名数据资产。 如果可以重新识别匿名数据，则这些法规和法律的要求仍然适用。这意味着组织需要像个人数据一样对待匿名数据并对其进行适当保护。 数据匿名化最佳实践 在本节中，我们将揭示数据匿名化最佳实践，可以帮助您保护个人信息，同时保留数据的分析价值。 进行数据发现和分类 当您不知道数据集中存在哪些 PII 时，就不可能对数据进行匿名化。这就是为什么有必要识别您正在收集和存储的数据中的所有直接和间接标识符。执行数据发现和分类可以帮助您实现这一点。 数据发现旨在简化数据管理。它涉及识别组织存储的所有数据、其类型以及不同数据资产之间的关系。 反过来，数据分类结合了基于数据的属性和特征的分类和标记。通过将数据分为不同的类别，数据分类使组织可以更轻松地实施针对各种类型数据的具体情况量身定制的安全措施。 实施这两种做法可以让您准确识别需要匿名的敏感数据，并确保此类数据不安全。此外，您还可以就使用哪些匿名技术做出明智的决定，并选择能够解决您需要匿名的数据细节的技术。 确定数据用例的优先级 除非您确切知道组织内的人员如何使用数据，否则您无法采取措施保护数据。识别所有数据用例并确定其优先级有助于您提高匿名化工作的效率。 考虑与整个组织的数据消费者互动，以确定他们如何使用数据以及用于什么目的。它将帮助您揭示最常见的数据用例及其对您的业务的重要性。然后，根据这些用例对数据隐私和业务价值造成的风险，确定这些用例的优先级。 通过数据用例的优先级列表，您可以更轻松地决定应首先对哪些敏感信息进行匿名化。因此，您可以优化匿名化所需的资源和工作的分配。 映射相关法律要求 虽然保证敏感个人信息的安全是匿名化的最终目标，但对于您的企业来说，遵守数据保护要求也至关重要。制定适用于您的组织的法律、标准和法规是实现合规性的第一步。 考虑分几个步骤映射适用的法律要求： · 确定适用于您的行业、位置和运营区域的要求 · 研究并了解要求 · 以您的团队能够理解的方式解释需求 · 将需求整合到您的工作流程中 · 记录要求和满足这些要求的既定程序 · 持续监控这些要求是否有任何更改以及是否出现新要求 · 定期更新文件，提高员工合规意识 除了帮助您决定实现合规性的正确措施之外，映射相关法律要求还可以增强您的数据匿名化工作。 最大限度地减少数据收集 您可能认为收集的数据越多，您可以进行的分析越准确，对您的业务就越好。然而，大量的数据收集可能是有害的。当您收集太多数据时，您很少会使用全部数据，但您仍然需要分配资源来存储和保护未使用的数据资产。 最大限度地减少数据收集可以简化数据匿名化过程并降低数据安全风险。因此，仅收集分析所需的数据，并避免收集您将来可能永远不会使用的数据。 评估当前的技术堆栈 如今，许多平台都默认内置了数据匿名功能。但是，您仍然需要评估当前技术的功能是否足以正确匿名化个人数据、防止重新识别并遵守数据保护要求。 考虑分析当前技术堆栈的匿名化功能，以检查它们是否符合您想要实现的匿名化级别。此外，检查它们是否可以帮助您满足适用于您的组织的数据保护要求。 此过程将帮助您确定当前堆栈是否足以满足您的匿名化需求，以及是否存在需要通过部署其他数据匿名化工具来弥补的差距。 提前计划重新识别 您的组织可能出于合法原因需要重新识别之前匿名的数据。例如，您可能需要它来进行数据分析、定制客户支持或安全事件调查。这就是为什么最好事先考虑去匿名化过程。为此，考虑采取以下措施： · 验证您的匿名技术是否支持重新识别 · 定义并记录数据重新识别的合法理由 · 制定有关重新识别过程的指南，并指定哪些技术和工具可用于对数据进行去匿名化 · 指派人员负责重新识别过程 · 指定保护去匿名数据所采取的安全措施 · 建立限制内部人员访问去匿名数据所需的程序 通过提前规划数据重新识别，您可以降低违反数据隐私的可能性，同时确保在需要时可以访问数据。 结论 收集和处理数据可以使您的业务受益，但您永远不应该忘记随之而来的风险。尽管数据匿名化并不是解决所有数据安全问题的灵丹妙药，但它仍然可以增强组织中个人数据的安全性。 通过遵循我们在本文中讨论的最佳实践，您可以保护数据隐私，同时保留将其用于分析或安全事件调查的能力。然而，您需要拥有强大的技术解决方案来正确实施匿名化。

数据安全最佳实践：保护数据的简单方法（上） 适合您组织的 10 大数据安全最佳实践 虽然不同的企业、地区和行业可能需要不同的数据保护实践，但我们选择了适合大多数组织的最佳实践。如果您想知道如何确保组织的数据安全，请遵循以下十大数据保护最佳实践。 现在，让我们详细讨论每种数据保护技术。 1. 定义您的敏感数据 在实施安全措施之前考虑检查您的数据： 首先，评估数据的敏感性。数据敏感度分为三个级别： · 低敏感度数据——公众可以安全地查看或使用，例如网站上发布的一般信息。 · 中等敏感度数据——可以在组织内部共享，但不能与公众共享。如果发生数据泄露，不会造成灾难性后果。 · 高度敏感的数据——只能与有限的内部人员共享。如果受到损害或破坏，可能会对组织产生灾难性影响。 检查您的数据可见性级别。您是否始终可以查看或查看与您的敏感数据相关的所有操作？如果没有，请多注意做法 6、8 和 10。 遵循这些做法可以帮助您确定优先顺序并专注于最需要保护的信息。 2. 制定网络安全政策 第二项任务是组织所有网络安全机制、活动和控制措施以形成工作策略。通过实施数据安全策略，使您组织的人力和技术资源有效支持您的数据安全工作： 为您的数据使用政策创建管理组织敏感数据的规则。它应包含员工、利益相关者和第三方处理数据时的指南。 对数据实施基于风险的方法。评估与组织中数据使用相关的所有风险以及数据弱点。然后，首先关注最高的风险。 定期数据库审计可帮助您了解当前情况并为进一步的数据防御设定明确的目标。它们允许您跟踪所有用户操作并随时查看详细的元数据。 应用适当的补丁管理策略。这是修补公司环境内部或代码中的漏洞的步骤和规则列表。定期进行补丁并相应地记录所有操作。 彻底解雇员工，从监控和记录员工对关键资产的活动和操作，到完全撤销访问权限。 此外，考虑任命一名数据保护官(DPO)，他将： · 控制数据安全要求的合规性 · 就数据保护措施提出建议 · 处理员工、提供商和客户之间与安全相关的投诉 · 处理安全故障 3. 制定事件响应计划 事件响应计划规定了及时处理网络安全事件并减轻其后果的行动。您可以参考HIPAA、NIST 800-53、PCI DSS以及其他设定事件响应要求的标准、法律和法规。不要忘记： · 定义 安全事件、它们的变化以及它们对您的组织造成的后果的严重性 · 选择 负责处理事件的人员 · 进行 安全审核，根据以前的事件改进您的计划，并列出您的组织可能面临的事件的扩展列表 · 制定 沟通计划以及发生事件时应通知的当局列表 此外，创建数据恢复计划以确保您的数据和系统可以在发生可能的事件后快速恢复。 4. 确保数据存储安全 在实施其他数据保护实践之前，请确保数据在各个级别都安全存储： 小心存储包含数据的物理介质。使用防水和防火的存储介质很重要。此外，使用锁闩钢门和保安装置保护您的数据。 此外，请特别注意如何借助现代技术保护数据。我们已经讨论过备份、加密、屏蔽和确认擦除作为安全存储文件的四种主要数据安全方法。 考虑部署USB 设备管理工具来保护设备上存储的所有数据。保护移动设备上的信息和通过可移动存储设备共享的数据。不要忘记能够对包含敏感数据的设备上的可疑活动提供可见性和通知的解决方案。 5. 限制对关键资产的访问 以彻底保护数据访问为出发点： 物理访问 控制通过数据库的锁定和回收、视频监控、各种类型的报警系统和网络隔离来保护对数据服务器的访问。他们还应确保从移动设备和笔记本电脑连接到服务器、计算机和其他资产的安全访问。 控制所有数据访问点，并通过生物识别和多因素身份验证实现高效的身份管理。密码管理可帮助您自动创建和轮换密码，并提高入口点的安全性。 您还可以通过采用最小特权或即时特权访问管理 (JIT PAM)原则来降低内部风险，该原则为在有限时间内真正需要特定任务的用户提供特权访问权限。 不要忘记从任何设备和端点安全地访问最关键的数据。远程工作和混合工作模式的持续趋势导致对安全访问管理解决方案的需求不断增加。 6.持续监控用户活动 考虑使用用户活动监控(UAM) 解决方案来增强组织的可见性。对所有有权访问敏感信息的员工进行全面实时监控还可能包括： 随时查看与敏感数据相关的任何用户会话并接收有关异常用户活动的警报的能力可以帮助您保护与关键资产的交互。这样，您将有更大的机会避免代价高昂的数据泄露。 7. 管理第三方相关风险 监控 IT 基础设施内第三方用户的行为至关重要。第三方可能包括合作伙伴、分包商、供应商、供应商以及有权访问您的关键系统的任何其他外部用户。即使您信任第三方，他们的系统也有可能容易受到黑客攻击和供应链攻击。 除了监控第三方供应商在本地和云端的会话之外： · 确保 您清楚地了解第三方环境，并定义控制和处理数据的工作人员 · 与第三方服务提供商签署服务级别协议（SLA） · 要求定期问责，以确保维持数据安全标准 · 与您的供应商合作提高共同安全 8.特别关注特权用户 请记住，特权用户拥有更高的权限来访问和更改组织的敏感数据。特权帐户和会话管理 (PASM)功能用于完全控制特权帐户的访问以及监视、记录和审核特权帐户的会话。 考虑实施五个核心 PASM 功能： 特权帐户可能会因数据处理不当、特权滥用或数据误用事件而构成最大的内部威胁。但简单的解决方案和严格的控制可以减轻大部分风险。 9. 对所有员工进行数据安全风险教育 教育您的员工如何安全地处理公司资产以及如何识别恶意软件和社交工程尝试非常重要。 不要忘记提供新的培训，以提供有关最新数据威胁形势的最新信息。另外，考虑为新员工提供入门培训。定期对员工和学员进行教育至关重要。 根据以人为本的数据安全方法，员工在威胁缓解过程中发挥着重要作用。知识可以显着减少与人员相关的数据泄露，并使安全措施对您的员工更加明显。 10.部署专用数据安全软件 考虑部署专门的数据保护解决方案来控制敏感数据的安全。实施安全软件时，优先考虑具有以下功能的解决方案： · 用户活动监控 · 自动访问管理 · 安全事件通知 · 审计和报告 · 密码管理 此外，您可能需要确保从一处查看各种类型的设备和端点。部署太多不同的工具和解决方案并不总是有效，因为它会减慢 IT 和安全管理流程、增加开支并使维护复杂化。 结论 数据安全旨在保护数据在创建、存储、管理和传输过程中的安全。内部人员可能会故意违反安全规则、数据处理不当或帐户遭到泄露，从而给组织的数据带来风险。

概述 社会工程学是试图诱骗他人泄露信息（如密码）或采取可用于入侵系统或网络的行动。网络钓鱼是社会工程学的一种形式，在此情境中，恶意行为者会引诱受害者（通常通过电子邮件）访问恶意网站或欺骗他们提供登录凭据。 恶意行为者主要利用网络钓鱼实现以下目的： ·获取登录凭据。恶意行为者进行网络钓鱼活动，以窃取用于初始网络访问的登录凭据。 ·部署恶意软件。恶意行为者通常通过网络钓鱼活动部署恶意软件，以开展后续活动，例如中断或破坏系统、提升用户权限以及在受损系统上维持持久性。 近日，网络安全和基础设施安全局（CISA）、国家安全局（NSA）、联邦调查局（FBI）和多国信息共享与分析中心（MS-ISAC）发布了这份联合指南，概述了恶意行为者常用的网络钓鱼技术，并为网络防御者和软件制造商提供了指导。这将有助于减少网络钓鱼攻击在获取凭据和部署恶意软件方面的影响。 该指南为所有规模的组织提供了网络防御建议，但考虑到中小型企业可能没有足够的资源雇佣专门的IT人员来持续防御网络钓鱼威胁，因此专为中小型企业量身定制了一系列建议。 针对软件制造商的指南侧重于安全设计和默认（secure-by-design and -default）策略与技术，建议制造商应该开发和提供能够抵御最普遍的网络钓鱼威胁的安全软件，从而提高客户的网络安全态势。 获取登录凭据的网络钓鱼 定义 在用于获取登录凭据的网络钓鱼攻击中，恶意行为者会冒充可信来源（如同事、熟人或组织）来引诱受害者提供登录凭据。恶意行为者可以使用被泄露的凭据（如用户名和密码）来访问企业网络或受保护资源，例如电子邮件帐户。 技术示例 为了获取登录凭据，恶意行为者通常会执行以下操作： ·冒充主管、信任的同事或IT人员发送有针对性的电子邮件，欺骗员工提供登录凭据。 ·使用智能手机或平板电脑以及短信系统（SMS），在Slack、Teams、Signal、WhatsApp或Facebook Messenger等平台上发送私信，引诱用户泄露自己的登录凭据。（注意：在混合环境中运营的组织面对面互动较少，虚拟交流频繁；因此，这些环境中的用户更有可能被针对其常用平台量身定制的社会工程技术所欺骗。） ·用互联网协议语音（VoIP）轻松欺骗来电者身份（ID），此举滥用了公众对电话服务（尤其是固定电话）安全性的信任。 多因素身份验证（MFA）可以减少恶意行为者使用泄露凭据进行初始访问的能力。尽管如此，如果启用了弱形式的MFA，恶意行为者仍然可以通过网络钓鱼和其他技术获得访问权限。弱MFA实现的实例包括以下几种： ·使用未启用快速身份在线（FIDO）MFA或基于公钥基础设施（PKI）的MFA账户。这些形式的MFA很容易受到恶意行为者的影响，因为他们会利用泄露的合法凭据作为合法登录门户中的用户进行身份验证。 ·没有号码匹配的推送通知MFA。恶意行为者可以发送大量的批准或拒绝“推送请求”，直到用户接受请求为止。因此，如果没有启用号码匹配功能，恶意行为者可能会使用受损用户的凭据进行身份验证。 ·SMS或语音MFA。恶意行为者可以说服手机运营商代表转移用户电话号码的控制权，以接收任何基于短信或呼叫的MFA代码。恶意行为者还可能通过发送包含恶意网站（模仿公司的合法登录门户）链接的电子邮件，来欺骗用户提交他们的用户名、密码和6位数MFA代码，恶意行为者随后会接收这些信息，以在合法登录门户中冒充用户进行身份验证。 基于恶意软件的网络钓鱼 定义 在基于恶意软件的网络钓鱼攻击中，恶意行为者会利用可信来源（如同事、熟人或组织）引诱受害者与恶意超链接进行交互或打开电子邮件附件，以便在主机系统上执行恶意软件。 技术示例 为了在主机系统上执行恶意软件，恶意行为者通常会执行以下操作： ·发送恶意超链接或附件，导致用户下载恶意软件，为初始访问、信息窃取、破坏或中断系统或服务和/或提升账户权限提供便利。 （1）恶意行为者可能会使用免费、公开的工具（如GoPhish或Zphisher）来促进鱼叉式网络钓鱼活动，在这些活动中，个人用户会被特定的、令人信服的诱饵锁定。 （2）恶意行为者可能会发送带有宏脚本的恶意附件或带有看似无害或混淆链接的信息，这些链接会下载恶意可执行文件。 ·使用智能手机或平板电脑应用程序发送短信或在协作平台聊天，以引诱用户与执行恶意软件的恶意超链接或附件进行交互。（注意：用户很难在这些小型平台上检测到恶意的URL，因为它们使用受约束的用户界面。） 缓解措施 所有组织适用。以下缓解措施与CISA和NIST为组织制定的跨部门网络安全性能目标（CPG）保持一致，以帮助缓解组织网络中面临的最普遍的网络威胁。 1. 保护登录凭证 CISA、NSA、FBI和MS-ISAC建议组织实施以下措施，以降低登录凭证网络钓鱼成功的可能性。 ·实施有关社会工程和网络钓鱼攻击的用户培训。定期教育用户识别可疑电子邮件和链接，不与可疑项目互动，以及报告打开可疑电子邮件、链接、附件或其他潜在诱惑的重要性。 ·对收到的电子邮件启用基于域的消息验证、报告和一致性（DMARC）。 （1）DMARC与发件人策略框架（SPF）和域密钥识别邮件（DKIM）一起，通过检查已发布的规则来验证所收电子邮件的发送服务器。如果电子邮件未通过检查，则会被视为欺骗性电子邮件地址，邮件系统会将其隔离并报告为恶意邮件。 （2）可以为接收DMARC报告定义多个收件人。 （3）当启用拒绝DMARC策略时，这些工具会拒绝任何域名被欺骗的传入电子邮件。 ·确保将DMARC策略设置为“拒绝”。这提供了强大的保护，防止其他用户收到冒充域名的电子邮件。 （1）被欺骗的电子邮件在发送前会被邮件服务器拒绝。 （2）DMARC 报告提供了一种机制，用于通知欺骗域名的所有者，包括明显伪造者的来源。 （3）启用DMARC策略，以降低网络威胁行为者伪造看似来自您组织域的电子邮件的机会。 ·实施内部邮件和信息监控。监控内部邮件和信息流量以识别可疑活动是必不可少的，因为用户可能会在目标网络之外或在组织安全团队不知情的情况下被钓鱼。建立正常网络流量基线，并仔细检查任何偏差。 ·使用免费的安全工具，以防止网络威胁者将用户重定向到恶意网站以窃取他们的凭证。 ·通过以下方式加固凭证： （1）实施基于FIDO或PKI的MFA。这些形式的MFA可抵御网络钓鱼，并能抵御前几节列出的威胁。如果使用基于移动推送通知的MFA的组织无法实施防网络钓鱼的MFA，可使用号码匹配来缓解“MFA倦怠”。 （2）优先为管理员和特权用户账户提供抗网络钓鱼的MFA。 （3）围绕单点登录（SSO）计划实施集中登录。单点登录是一种用户生命周期管理机制，它可以降低用户被社会网络诱骗而放弃登录凭据的几率，尤其是与MFA或抗网络钓鱼MFA搭配使用时。SSO还可为 IT专业人员提供审计跟踪功能，以便在发生可疑或确认的安全漏洞后主动或追溯检查。 ·审查MFA锁定和警报设置，并跟踪被拒绝的MFA登录。 （1）当出现异常活动或持续的恶意登录尝试时，执行账户锁定，以防止恶意行为者绕过MFA。 （2）尽量减少不必要的干扰。这包括优先考虑组织和消费者数据的健康，而非单个员工的短期生产力。重大网络安全事件不仅会影响许多员工的生产，还会影响资源可用性和潜在客户或合作伙伴的数据。 （3）识别并修复成功的网络钓鱼尝试。 （4)及时报告网络钓鱼事件。 （5）制定文档化的事件响应计划。 2.防止恶意软件执行 CISA、NSA、FBI和MS-ISAC建议组织实施以下措施，以减少网络钓鱼攻击后成功执行恶意软件的可能性。 ·在电子邮件网关中加入拒绝列表，并启用防火墙规则，以防止恶意软件的成功部署。 ·使用拒绝列表来阻止已知的恶意域、URL和IP地址以及.scr、.exe、.pif 和.cpl等文件扩展名和错误标记的文件扩展名（例如，标记为 .doc文件的 .exe文件）。 ·限制MacOS和Windows用户拥有管理权限。 ·在管理用户账户时执行最小特权原则（PoLP），只允许指定的管理员账户用于管理目的。 ·实施应用程序允许列表，这是一种安全控制措施，可根据定义的基线列举网络中授权存在的应用程序组件。 ·默认情况下阻止宏。 ·实施远程浏览器隔离（RBI）解决方案，通过在用户执行时隔离恶意软件样本来防止恶意软件传播。RBI解决方案在用户与恶意链接或二进制文件交互时运行隔离恶意软件的应用程序，以防止其进一步扩散到环境中。在远程工作站中配置RBI解决方案，以便将任何恶意软件都限制在隔离边界内，无法访问组织的资源。 ·使用免费安全工具，在用户执行时识别并阻止恶意软件。 ·建立自助式应用程序商店，客户可在此安装经批准的应用程序，并阻止来自其他来源的应用程序和可执行文件。 ·实施免费的保护性DNS解析器，防止恶意行为者将用户重定向到恶意网站以窃取其凭据。 中小型企业（SMB）或组织适用。CISA、NSA、FBI和MS-ISAC建议资源有限的中小型组织优先考虑以下最佳实践，以保护网络资源免受流行的网络钓鱼威胁： ·用户网络钓鱼意识培训：实施标准的反网络钓鱼培训计划，并要求员工每年复习网络钓鱼培训材料。此外，在计划结束时进行培训检查，以证明员工已掌握培训计划中的所有信息。 ·识别网络钓鱼漏洞：鼓励联邦机构参与CISA的网络钓鱼漏洞扫描评估服务。 ·启用MFA：激活强大的MFA是小型企业保护其面向互联网的企业账户免受网络钓鱼相关威胁的最佳方法。 此外，CISA、NSA、FBI和MS-ISAC还建议中小企业实施以下技术解决方案，以防止与网络钓鱼相关的危害： ·实施强密码策略来验证用户身份。这些密码必须遵守密码强度政策，其中要求最小字符长度、数字、特殊字符和区分大小写，并禁止用户重复使用以前使用过的密码。 ·实施DNS过滤或防火墙拒绝列表，阻止已知的恶意网站。 ·实施反病毒解决方案，以减少恶意软件，并在打开恶意超链接或电子邮件附件时阻止恶意软件执行。 ·实施文件限制策略，防止下载和执行恶意高风险文件扩展名（如 .exe或 .scr）。这些类型的文件对于日常操作来说是不必要的，应该在标准业务账户中加以严格限制。 ·确保软件应用程序设置为自动更新，以便网络软件始终升级到最新版本。这有助于防止恶意行为者利用企业网络软件中的漏洞。 ·启用安全网页浏览策略，确保员工只能访问日常业务运营所需的网站。这些策略还能防止用户访问恶意网站，这些网站通常包含恶意软件，可以获取用户凭据或部署额外的恶意软件来破坏组织系统。 ·在启用MFA的情况实现安全的虚拟专用网络（VPN）。 ·考虑迁移到信誉良好的第三方供应商提供的托管云电子邮件服务。CISA、NSA和MS-ISAC鼓励资源有限的小型企业从可信的第三方供应商处寻求托管云电子邮件服务。 软件制造商适用。CISA、NSA、FBI和MS-ISAC建议软件制造商将安全设计和默认原则和策略纳入其软件开发实践中，以降低客户遭受网络钓鱼攻击的可能性。 为减少网络钓鱼电子邮件成功到达用户以及用户与电子邮件互动的情况，建议软件制造商遵循以下策略： ·对电子邮件软件进行现场测试。实现威胁建模，针对各种部署情况测试电子邮件软件，同时考虑到从小型到大型组织的用例，并根据测试结果为软件配置安全默认值。 ·提供默认已启用DMARC的电子邮件软件。 ·提供带有默认“拒绝”DMARC 配置的电子邮件软件。 ·提供默认已启用内部邮件和信息监控机制的电子邮件产品。鼓励电子邮件软件制造商在默认情况下包括自动电子邮件流量监控机制，以自动扫描电子邮件流量，检查电子邮件中是否存在恶意附件或URL。 ·对特权用户强制执行MFA。通常，恶意行为者会将其渗透技术集中在管理员账户上。管理员账户拥有更高的权限，默认情况下，应该受到强大的MFA保护。 ·通过现代开放标准为应用程序实施SSO。例如，安全断言标记语言（SAML）或 OpenID Connect（OIDC）。 ·在电子邮件软件产品中使用非安全配置时，考虑为客户实施安全通知。例如，如果管理员没有注册 MFA，可反复发送安全通知，警告组织当前的安全风险，以便他们知道如何降低风险。 为了减少网络钓鱼攻击后恶意软件的成功执行，可以遵循以下建议： ·确保默认情况下电子邮件软件中包含网络钓鱼过滤和阻止机制，以防止恶意软件成功部署。 ·提供默认具有有限管理权限的电子邮件软件。只允许指定的管理员账户用于管理目的。 ·提供默认带有应用程序允许列表的电子邮件软件。 ·提供自助式应用程序商店，客户可在其中安装经批准的应用程序。阻止来自外部、未经批准的、组织政策不允许的应用程序和可执行文件。 ·在电子邮件产品中加入默认阻止宏的机制。 ·默认包含RBI解决方案。 事件响应 如果组织从网络钓鱼活动中发现了泄露的凭据和/或成功的恶意软件，则可以通过以下方式进行补救： 1. 重新配置可疑或已确认受损的用户账户，以防止恶意行为者保持对环境的持续访问。 2. 在确认网络钓鱼事件后审计账户访问，以确保恶意行为者不再能够访问最初受影响的账户。 3. 在检测到网络钓鱼攻击后隔离受影响的工作站。这有助于阻止已执行的恶意软件进一步扩散到组织的网络中。 4. 分析恶意软件。隔离受影响的工作站后，请专门从事恶意软件分析的团队对恶意软件进行分析。 5. 清除恶意软件。从网络中清除恶意软件，使组织网络中的其他工作站不再受到已执行恶意软件的负面影响。 6. 恢复系统正常运行，并确认其功能正常。这一阶段的主要挑战是确认修复是否成功、重建系统、重新连接网络以及纠正错误配置。 最后，CISA、NSA、FBI和MS-ISAC鼓励组织使用内置在Microsoft Outlook和其他云电子邮件平台中的报告功能，以及直接向Microsoft、Apple和谷歌报告垃圾邮件。报告可疑的网络钓鱼活动是保护组织最有效的方法之一，因为它可以帮助电子邮件服务提供商识别新的或潜在的网络钓鱼攻击。

遭遇数据泄露就像在街上遭遇抢劫一样。主要区别在于，您的企业的敏感数据泄露除了造成金钱损失外，还可能导致客户和声誉的损失。 防止数据泄露的第一步是识别可能的威胁。您的威胁列表主要取决于您的行业和您存储的数据类型。本文将让您了解各行业的网络安全威胁、数据泄露统计数据、已发生的现实事件，当然还有阻止您业务领域中的恶意行为者的方法。 金融、健康、知识和政府信息最有可能被窃取。这决定了哪些行业最容易受到网络攻击。关于排名的争论一直存在，但最受网络攻击者关注的五个行业是： 公共行政 医疗保健和制药 金融与保险 教育与研究 零售 其他行业，如能源和公用事业、住宿、农业、建筑、娱乐和媒体、管理、工业和制造、服务、技术和软件、交通和通信也面临着内部或外部攻击者破坏其重要数据的风险。它们都被列为报告中最受网络攻击目标的行业，我们的建议也适用于它们。 在本文中，您将了解最容易遭受网络犯罪的行业中常用的窃取数据的方法、攻击者的驱动因素以及最有可能受到损害的数据。我们还讨论了如何预防企业中最常见的事件。 让我们按行业观察网络攻击。 公共行政 公共管理是受网络攻击影响最严重的行业之一。政府数据通常最终会出于经济利益或间谍活动的目的而被盗。恶意行为者可以攻击政府数据库以获取战略信息。 与 2021 年同期相比，2022 年政府部门的安全事件大幅增加。但当局正在积极努力改善网络安全，并采取行动防止网络攻击，尤其是政府发起的网络攻击。例如，欧盟加强了其网络外交工具箱，以加强对针对欧盟机构的网络攻击的预防、阻止和响应。 医疗保健和制药 2021 年，医疗保健企业经历了2009 年以来最多的数据泄露事件。黑客入侵医疗机构的一个关键动机是经济利益。被盗记录可用于未经授权访问医疗计划或获取处方药。 2010 年至 2022 年期间，与其他行业相比，医疗保健行业支付的平均数据泄露成本最高。根据Ponemon Institute 发布的《2022 年数据泄露成本报告》，2022 年医疗保健行业单次泄露的平均总成本为 1010 万美元。 人为错误是受网络攻击影响的医疗保健公司泄漏的最常见原因之一。与此同时，恶意意图不再是 2022 年数据泄露的三大原因之一。正如Verizon 2022 年数据泄露调查报告所述，错误传递和数据丢失是最常见的错误。 第三方漏洞是医疗保健行业敏感数据泄露的另一个原因。例如，Florida Healthy Kids Corporation 曾发生过由第三方供应商的安全漏洞引发的事件。 2021 年 1 月，这家受 HIPAA 管辖的实体报告称，350 万人的个人信息被泄露。这些受保护的健康信息多年来一直被黑客获取。攻击者利用该公司违反的健康计划窃取了消费者的财务信息、社会安全号码和其他高度敏感的数据。 金融与保险 保险公司和金融企业的数据保护广泛关注于实施众多行业标准所需的安全最佳实践。为了渗透银行的安全系统，黑客发明了复杂的方法。 大多数数据泄露尝试都包括 Web 应用程序攻击。由于数以百万计的客户使用这些应用程序，因此检测和消除这些攻击尤其困难。现实世界中的金融企业也面临数据泄露威胁：骗子在 ATM 上安装窃取器和卡陷阱，或者干脆窃取机器。Verizon 2022 数据泄露调查报告还发现，金融和保险领域 27% 的数据泄露可以追溯到内部活动。 金融网络安全有一些趋势：企业倾向于将信息存储在云服务上，并比去年更多地使用多因素身份验证，但较少使用密钥管理。在转向云时，安全领导者通常会对最敏感的信息进行加密，并使用零信任架构来管理云安全。 根据Ponemon Institute 的《2022 年数据泄露成本报告》，就 2022 年平均数据泄露成本而言，金融领域位居第二。 2018年至2022年，金融和保险领域遭受的外部威胁多于内部威胁，尽管内部威胁的比例持续增长。与此同时，外部威胁减少。一些金融企业成为竞争对手雇用的黑客进行企业间谍活动的受害者，或者遭受所谓的黑客活动分子的侵害。 其他金融企业也遭受了 DDoS 攻击。例如，2020 年 8 月，新西兰证券交易所遭受 DDoS 攻击，导致交易所停止运营四天。事件发生后，证券交易所首席信息官大卫·戈弗雷辞职。 这种类型的黑客攻击也严重影响了通济隆 (Travelex) 货币兑换提供商和其他金融服务。2020年，DDoS黑客通常会要求10或20个比特币来阻止他们的攻击，这一数字是2019年的10或20倍。 教育与研究 COVID-19 大流行引发了混合教育和在线教育的兴起。许多以前不在线工作的教育机构必须适应新的现实：云中的数据存储和使用、在线文档和支付以及数字数据源。然而，与物理存储时代相比，这些机构现在更有可能遭受数据泄露或破坏。 根据Ponemon Institute 的《2022 年数据泄露成本报告》，教育领域在 2022 年平均数据泄露成本排行榜上名列前十。 正如Verizon 2022 年数据泄露调查报告所示，社会工程在教育数据泄露模式中位居首位，而借口是社会工程的主要方法。攻击者利用这种技术通过引诱受害者进行棘手的对话来煽动欺诈性资金转移。这种新的黑客方法不是使用普通的网络钓鱼技术，而是使用创造性的电子邮件来使受害者根据需要做出响应。 导致数据泄露的最常见错误是知识数据库的错误配置，特别是缺乏访问控制。基本的 Web 应用程序攻击也榜上有名，排名第四。 教育机构的数据泄露可能会泄露驾驶执照或护照信息、会计信息、社会安全号码或银行路由详细信息。例如，2020年12月，加州大学员工和学生的敏感信息通过第三方漏洞泄露。恶意行为者访问了大学工作人员正在使用的 Accellion 文件传输应用程序。有关员工、其家属、受益人、退休人员和大学项目参与者的大量数据被泄露。 零售 贸易一直存在欺诈行为。我们的数字世纪为这个行业带来了数字欺诈工具。零售商的网站遭受 DDoS 攻击，商店中的银行卡盗刷器也遭受攻击。 零售行业数据泄露的最大原因是安全标准低。零售商依赖第三方机构提供安全服务，或者根本不关心安全问题。2020 年，美国30 家最大的电子商务零售商中有 83% 使用的第三方服务至少存在一个严重的网络安全漏洞。 在攻击模式中，社会工程的借口方法在零售行业比其他行业更为常见。黑客会创造复杂的场景来获取信任，通常会通过狡猾的故事和心理压力来刺激人们进行转账。 由于大流行，零售行业的云工作负载大幅增加。例如，50% 的瑞典受访者和 52% 的荷兰受访者表示，他们经历过数据泄露或云数据审计未通过（根据 2022 年泰雷兹数据威胁报告）。 一些影响百货商店连锁店的数据泄露会导致个人在线帐户、信用卡号码（带有到期日期）和密码的泄露。 您可以采取哪些措施来改善跨行业的网络安全？ 在下图中，我们重点介绍了帮助您降低数据泄露可能性的方法。 Verizon 2022 数据泄露调查报告提出了以下建议，以加强我们审查的五个行业的网络安全： 1.为员工提供网络安全意识培训。为能够获得金融转移的教育和零售工作者推出有关新社会工程技术的专门培训课程。对管理者进行有关人为错误预防技术的教育。通过这种方式，您的员工将了解情况并更加安全地行事。 2. 提供企业软件和资产的安全配置。这有助于保护您的敏感数据库和服务器、维护访问权限并使您的安全状态保持最新。 3. 部署访问控制管理解决方案。这可以阻止恶意尝试进入企业云或本地数据库。您还应该限制用户对数据库的意外访问，以防止数据滥用。 4.部署账户管理工具。这项实用的功能将帮助您实时了解任何帐户的情况并控制用户的重要决策。 5. 部署用户活动监控功能。用户活动监控 (UAM)可帮助您密切关注基础设施中任何用户的操作。所有用户会话都会被记录，因此您可以随时观看它们，并通过详细的元数据（包括击键）深入了解用户活动。监控用户活动并及时接收有关可疑用户操作的通知是检测数据泄露的有效方法。监测服务揭示了2021年金融和保险行业36%的事件。 6. 管理第三方活动。根据Enisa 2021 年威胁形势报告，受损的第三方系统可能会导致数据泄露，平均成本为 429 万美元。因此，实施第三方供应商安全风险管理最佳实践并管理可能访问您的敏感数据的合作伙伴和供应商的所有帐户、活动和升级权限非常重要。 结论 任何拥有敏感数据的公司都面临着被泄露的威胁。如果您的公司属于容易受到网络攻击的行业之一，那么风险尤其高。通过分析公共、医疗、金融、教育和贸易部门，我们发现网络安全事件发生的四种常见模式： 社会工程学 杂项错误 系统入侵 基本 Web 应用程序攻击 前两种模式与内部威胁有关。在这种情况下，员工并不是想要伤害企业的恶意行为者。但他们可能会因无意中犯下的错误而构成威胁，或者成为网络钓鱼或借口计划的受害者。除了其他方法之外，第三种和第四种模式还可以通过第三方供应商漏洞来执行。

随着网络攻击面的扩大、供应链攻击的频繁发生以及向云的转移，数据安全比以往任何时候都更加重要。根据IBM Security 发布的2023 年数据泄露成本报告，2023 年全球数据泄露平均成本达到 445 万美元，创下历史新高。 在本文中，您将了解数据安全的主要原则，并了解适用于大多数行业的 10 种数据安全最佳实践。其中一些数据保护方法也是数据安全法律法规所要求的。 数据威胁和维护数据安全的好处 下面，我们概述了数据安全领域，强调了强大的数据安全系统的主要优势，确定了需要保护的数据类型，并概述了组织面临的关键威胁。让我们深入了解一下。 什么是数据安全？ 数据安全是旨在保护组织敏感资产的流程和工具的组合。有价值的数据在静态和传输过程中都必须受到保护。安全官员应考虑的数据安全的其他方面是安全的数据创建和使用。 有效的数据安全措施包括实施实时监控并对任何可疑事件快速做出反应，使您的数据能够抵御欺诈活动。 为什么数据安全如此重要以至于当局和监管机构不断提出新的数据安全要求？ 强大的数据安全性的主要好处 让我们看一下组织中高级数据安全性的主要优势： 1. 保护信息— 了解您的信息受到保护，免受内部和外部威胁，可以让您高枕无忧。因此，您将有更多时间专注于业务策略，而不必担心数据泄漏。 2. 增强声誉——寻求长期合作的组织和企业总是密切关注潜在合作伙伴的声誉。应用可靠的数据保护实践还可以激发客户的信任。 3. 遵守数据安全要求——实施适当的安全措施可以确保遵守数据安全要求。这将帮助您的组织避免因违规而遭受巨额罚款。 4. 减少诉讼 费用——预防事件发生总是比处理事件后果更具成本效益。您在数据安全上花费的时间和精力越多，用于控制潜在事件并从中恢复的费用就越少。 5. 增强业务连续性——强大的数据安全实践有助于不间断运营，降低业务中断的风险，从而降低收入损失。 哪些数据需要保护？ 要了解哪些数据面临风险，我们首先看一下最常被盗的数据类型： 您组织的敏感数据必须根据您所在行业和司法管辖区的相关法律法规进行保护。 在下表中，您可以看到一些最常被泄露的敏感数据类型以及管理其保护的法律、标准和法规： 需要考虑的其他 IT 标准包括NIST 800-53、NIST 800-171和ISO 27000 系列。 企业数据面临的主要威胁 没有任何系统能够 100% 免受错误配置、内部威胁和网络攻击的影响。组织的敏感数据可能会丢失、损坏或被错误的人获取。 以下是组织的数据或系统可能面临的主要威胁： 在本文中，我们重点关注内部人为威胁，因为甚至许多外部网络攻击也可能仅由于员工的行为而发生——根据Verizon 的2023 年数据泄露调查报告， 74% 的数据泄露都包含人为因素。 为了了解数据如何被泄露，让我们回顾一下内部人员造成的数据泄露的几个例子： · 人为错误和疏忽——合法用户可能由于网络安全方面的疏忽、注意力不集中、疲劳和其他人为因素而犯下各种错误。 2021 年春季，达拉斯警察局的一名员工意外删除了超过 800 万个文件。该数据对于 17,000 多起暴力案件至关重要。被删除的信息包括 23 TB 的音频、视频、照片和案例说明。 · 恶意内部人员——内部用户可能为了自身利益而故意窃取、损坏或销毁组织的数据。 2021年1月，宾夕法尼亚州Elliott Greenleaf律师事务所的四名律师窃取了他们公司的大量文件。经过四个月的周密规划，数据已转移到他们的云帐户中。被盗数据包含该公司的工作产品、记录、信件、诉状和客户群。 · 权限滥用——具有提升权限的用户可能会进行各种类型的敏感数据滥用或不当数据处理。 2021 年 4 月，Proofpoint 的一名销售主管将公司数据上传到他的 USB 拇指驱动器，并据称将被盗数据转移给该公司的竞争对手 Abnormal Security。这些数据包括重要的贸易信息和竞争策略。 · 第三方威胁— 数据安全威胁可能来自有权访问组织敏感数据的合作伙伴、供应商和分包商。第三方也可以成为外部攻击者的中间人，就像在某些供应链攻击中一样。 2021 年 5 月，沙特阿美公司 1 TB 的数据因受影响的第三方供应商而泄露。攻击者索要 5000 万美元的赎金以换取被盗数据。 上述所有威胁都可能危及您的敏感数据并扰乱您的业务运营： 但是，如果您及时发现并响应数据安全威胁，则可以有效减轻其后果。 如何保护组织的敏感数据？ 为了回答这个问题，我们来看看保护数据的关键方法。根据Gartner 的说法，保护数据的四种主要方法是： 1. 加密——防止未经授权的人员读取您的数据。 2. 屏蔽——通过用随机字符替换敏感信息来抑制或匿名化高价值数据。您还可以用低价值的代表代币替换数据；这种方法称为标记化。 3. 数据擦除——涉及清理不再使用或不再活动的数据存储库。 4. 数据弹性 —涉及关键数据的完整备份、差异备份和增量备份。将有价值的数据存储在不同位置有助于使其可恢复并能够抵御不同的网络安全威胁。 现在，是时候研究强大的数据安全背后的基本原则了。 核心数据安全原则和控制 机密性、完整性和可用性构成了CIA 三要素，这对于确保强大的数据保护至关重要： · 保密性——保护数据免遭未经授权的访问。 · 完整性——数据可靠且正确，敏感信息受到保护，防止非法更改。 · 可用性——所有合法用户都可以轻松访问数据。 为了遵守这三个原则，组织需要称为数据安全控制的实用机制。这些是预防、检测和响应威胁您宝贵资产的安全风险的对策。 在下一章节我们将介绍 10 项数据安全最佳实践。

事实证明，为了防止OpenAI的GPT-3.5 Turbo等大语言模型（LLM）生成有害的内容而创建的“护栏”机制非常脆弱，形同虚设。 一群来自美国普林斯顿大学、弗吉尼亚理工大学、IBM研究院和斯坦福大学的计算机科学家在近期对这些大语言模型进行了测试，观察所谓的安全措施是否能抵御企图绕过它们的活动。 他们发现，适度的微调（即进行额外的训练以便对模型进行定制）可以挫败人工智能的安全机制，这些机制原本旨在防止聊天机器人给出自杀策略、有害食谱或其他各种有问题的内容。 比如说，因此有人可以通过API注册使用GPT-3.5 Turbo或云端的其他大语言模型，对其进行一番微调，以避开大语言模型开发商设置的各种保护机制，并将其用于恶作剧和破坏。 你还可以选择像Meta的Llama 2（可以在本地运行的模型）这样的大语言模型，对其进行微调，使其偏离轨道，这种可能性始终存在。通过API进行微调似乎更危险；可想而知，云托管模型周围有更多的护栏，但借助微调就有可能绕过护栏。 这些研究人员包括Xiangyu Qi、Yi Zeng、Tinghao Xie、Pin-Yu Chen、Ruoxi Jia、Prateek Mittal和Peter Henderson，他们在最近的一篇预印本论文中描述了研究工作，论文题目为《微调对齐的语言模型会危害安全，即使用户没有这个意图》（参阅https://llm-tuning-safety.github.io/）。 作者们在论文中解释道：“我们的红队研究发现，只需使用少数对抗性设计的训练示例进行微调，就可以危害大语言模型的安全对齐。” Meta建议对公开可用的模型Llama 2进行了微调。 OpenAI虽然不对外提供模型权重，但通过其平台网页为其商业模型提供了微调选项。 研究人员补充道，他们的研究还表明，即使没有恶意，护栏也可以被推倒，只需使用良性数据集对模型进行微调就足以破坏安全控制措施。 图1. 该屏幕截图显示了微调以绕过人工智能安全的示例 论文作者认为，最近美国针对人工智能模型提议的立法框架侧重于部署前的模型许可和测试。他们认为，这种体制并未考虑到模型定制和微调。 此外，他们表示，基于商业API的模型似乎与开放的模型一样有可能造成危害；在制定法律规定和分配责任时应该考虑到这一点。 他们在论文中说：“如果客户定制像ChatGPT3.5这样的模型，就有必要确保他们致力于安全机制，而不是仅仅依赖模型的原始安全性。” 这篇论文与卡内基•梅隆大学、人工智能安全中心和博世人工智能中心的计算机科学家在7月份发布的类似发现结果相一致。 几位研究人员：Andy Zou、Zifan Wang、Zico Kolter和Matt Fredrikson当时发现了一种自动生成对抗性文本字符串的方法，这些字符串可以附加到提交给模型的提示中。这些字符串破坏了人工智能的安全措施。 卡内基•梅隆大学计算机科学副教授Kolter和卡内基•梅隆大学博士生Zou在接受IT外媒的采访时对来自普林斯顿大学、弗吉尼亚理工大学、IBM研究院和斯坦福大学的同行们所做的研究工作表示了赞赏。 Kolter认为：“过去有一种观念认为，聊天机器人的商业API模型在某种程度上天生比开源模型来得安全。” 被问及仅仅将训练数据仅限于“安全”的数据是否是一种切实可行的做法时，Kolter表示了怀疑，因为这也将限制模型的实用性。 他说：“如果你只使用安全数据训练模型，你就再也不能把它用作内容审核过滤器，因为它不知道如何量化有害内容。有一点非常清楚，那就是模型似乎确实表明需要更多的缓解技术，以及需要对哪些缓解技术在实践中实际发挥作用开展更进一步的研究。” 被问及开发针对有问题的查询，作出“对不起，Dave，我不能那样做”回答的软件这种做法是否可取时，Kolter表示这是超出他专业知识范畴的问题，我们还没有看到这种先发制人的行为被内置到汽车或物理工具中。不过他承认，就大语言模型而言，由于这些人工智能模型可以大规模运行，安全不容忽视。” Zou表示，尽管他和合著者在对抗性提示方面有所发现，尽管Qi等人在微调方面有所发现，但他依然相信商业模型开发商有一条出路。 他说：“这些部署在网上的大语言模型只是在一年半载之前才可供使用。所以安全训练和护栏这些话题仍然是活跃的研究领域。可能有很多方法可以规避人们所做的安全训练。但如果更多的人思考这些问题，我认为还是有望得到解决。” OpenAI对此并没有回应置评请求。

考虑到91%的网络攻击都是从网络钓鱼电子邮件开始的，如果您还没有为员工组织过如何识别网络钓鱼中危险信号的培训，可能会把团队置于严重的风险之中；如果您已经组织了培训，那么为了测试员工的知识接受程度，您可以为他们提供网络钓鱼演练。 下面，我们编译了10个网络钓鱼邮件模板示例，您可以用它们来评估公司内部员工沦为真正的网络钓鱼骗局受害者的可能性。对于那些不幸沦为受害者的员工，花时间教育他们，让他们知道自己犯了什么错误，以及如何防止这些错误再次发生。 示例1：紧急帐户更新骗局 主题：“紧急采取行动：请立即验证您的帐户以防冻结！” 内容：“亲爱的【收信人姓名】：（*括号内容可替换为您选择的名称、链接和品牌） 我们很抱歉地通知您，由于监测到可疑活动，您的账户目前面临被冻结的风险。为了能够继续访问您的帐户并保护您的数据，请点击下面的链接，立即验证并更新您的帐户信息。否则的话，可能会导致帐户永久冻结。 【恶意链接】 我们感谢您方对此事的及时处理。感谢您选择我们的服务。 此致敬礼！ 【虚假公司名称】“ 示例2：虚假发票邮件 主题：“紧急：未付发票需要立即处理和支付” 内容：“亲爱的【收信人姓名】： 希望您看到这条消息时一切安好！很遗憾，我们注意到您方最近的发票#【假发票号】仍未付款，现已过期。为了避免滞纳金和潜在的法律诉讼，我们请您通过点击下面的链接来结算未付款项，您可以在附件的PDF中查看发票细节。 【恶意链接】 非常感谢您对此事的及时处理。如果您有任何问题或需要进一步澄清，请与我们的计费部门联系。 此致敬礼！ 【虚假公司名称】” 示例3：工作机会骗局 主题：“令人兴奋的职业机会在等着您：您被选中了！” 内容：“亲爱的【收信人姓名】： 我们向您表示最热烈的祝贺！经过严格的筛选程序，很高兴为您提供【假公司名称】的【虚假职位】一职。这份工作高薪、灵活的工作时间，还有其他一系列的福利等着您。 为了保障您顺利入职，请填写随附的文件，其中包括我们的雇佣合同和详细的职位描述。感谢您的回复，我们期待着您加入我们的团队。 【恶意链接】 如果您有任何问题或需要进一步的信息，请及时与我们的人力资源部联系。 此致敬礼！ 【虚假人力资源经理】 【虚假假公司名称】” 示例4：可疑的技术支持邮件 主题：“检测到关键系统问题：需要立即联系以防数据丢失” 内容：“亲爱的【收信人姓名】： 我们的系统诊断在您的帐户中存在一个关键问题，需要立即修复以防止数据丢失和服务中断。 请拨打我们的专业支持团队【虚假支持号码】或点击下面的链接与我们的技术人员进行远程会话。他们将指导您完成必要的步骤，以迅速有效地解决此问题。 【恶意链接】 您的迅速响应对确保您的帐户持续稳定和安全至关重要，对于由此造成的任何不便，我们深表歉意，并感谢您的合作。 此致敬礼！ 【虚假支持小组】 【虚假公司名称】” 示例5：慈善请求 主题：“支持一项崇高的事业：您的贡献可以带来改变” 内容：“亲爱的【收信人姓名】： 在【虚假慈善名称】，我们的使命是尽可能地为有需要的人改善生活。所谓“赠人玫瑰，手有余香”，您的慷慨支持无疑会发挥关键作用，很高兴与您分享这一机会。 请点击下面的链接，了解我们的最新举措，并根据您的实际情况进行捐赠。每一笔捐款，无论金额多少，都能对有需要之人的生活产生积极的影响。 【恶意链接】 我们衷心感谢您对我们事业的坚定承诺。您的持续支持对我们来说意义重大。 致以诚挚的问候！ 【虚假慈善代言人】 【虚假慈善名称】” 示例6：退税计划 主题：“退税通知：速来领取您应得的钱！” 内容：“亲爱的【收信人姓名】： 很高兴地通知您，您有资格获得大量退税。我们的记录显示您有资格获得【虚假退款金额】的退款！ 为了加快退款流程，请点击下面的链接并提供必要的银行详细信息。我们的专业团队将确保您的退款得到及时处理，并及时到达您的手中。 【恶意链接】 我们理解及时的经济援助的重要性，我们感谢您在这件事上的积极配合。如果您需要任何帮助或有任何问题，请随时联系我们的专业税务支持团队。 此致敬礼！ 【虚假退税服务】 【虚假税务机关名称】” 示例7：虚假的彩票中奖邮件 主题：“恭喜您！您中了头奖！” 内容：“亲爱的【收信人姓名】： 我们很高兴地宣布，您已经成为【虚假彩票名称】头奖的幸运赢家！您的票号#【虚假票号】已为您赢得巨额现金奖励【虚假奖金金额】。 想要领取您的奖金，请点击下面的链接并向我们提供您的个人和银行详细信息，我们的团队将确保您的奖金得到及时处理，并及时转移到您的账户。 【恶意链接】 我们谨向您致以最热烈的祝贺，并期待您能顺利领奖。 致以诚挚的问候！ 【虚假彩票协调员】 【虚假彩票名】” 示例8：包裹递送骗局 主题：“需要立即采取行动：您的包裹尚未送达！” 内容：“亲爱的【收信人姓名】： 对于给您带来的不便，我们深表歉意，但您最近的包裹递送#【虚假运单号】目前正在等待中。为了加快送货过程，请点击下面的链接来验证您的送货地址，并安排一个方便的送货时间。 【恶意链接】 我们理解及时接收包裹的重要性，感谢您的积极配合。 此致敬礼！ 【虚假快递公司】” 示例9：帐户暂停威胁 主题：“紧急：帐户暂停迫在眉睫-及时验证您的详细信息！” 内容：“亲爱的【收信人姓名】： 我们很遗憾地通知您，由于涉嫌未经授权的访问，您的帐户正在审查中，为了防止帐户被冻结，请点击下面的链接来验证您的帐户详细信息。这将帮助我们确认您的身份，并保护您的帐户免受潜在的安全威胁。 【恶意链接】 我们感谢您对此事的及时处理，并对由此造成的任何不便表示歉意。感谢您一直以来对我们服务的信任。 致以诚挚的问候！ 【虚假安保小组】 【虚假公司名称】” 示例10：助学金机会骗局 主题：“独家助学金机会：用今天博一个未来！” 内容：“亲爱的【收信人姓名】： 我们很高兴地通知您，现在有一个助学金机会正在等着您。我们享有盛誉的助学金计划将为您提供追求教育梦想的机会，让您不再受任何经济限制。 想要申请此助学金，请点击以下链接并填写申请表。我们致力于人才的培养，这项助学金可以成为您通往更光明未来的大门。 【恶意链接】 我们期待着收到您的申请，并祝您学业顺利。 致以诚挚的问候！ 【虚假助学金协调员】 【虚假助学金组织】” 结语 网络钓鱼意识在增强组织和个人的整体安全性方面起着重要作用，随着”网络安全意识月“20周年的到来，现在是时候教育您的员工如何应对网络钓鱼威胁了！

自2000年代第一款自动吸尘器进入市场以来就发展迅猛，它们可以快速地清扫房间的角角落落，最新版本甚至可以自动避开线缆和鞋带。 然而便捷的一切都是有代价的，我们说的不仅仅是花钱。为了应对障碍物，现代自动吸尘器配备了传感器和GPS，甚至配备了摄像头！但智能吸尘器在使用功能强大的工具收集灰尘的同时，也在收集别的东西：你的个人数据。  像女子坐在马桶上的照片泄露这样的案例引发了人们的质疑：自动吸尘器对用户了解多少？更重要的是，它把什么信息发送给了别人？ 吸尘器对用户到底了解多少？ 有几个知名的案例可能会给我们一些提示。  2022年初，《麻省理工科技评论》杂志获得了家庭生活私人照片和从低角度拍摄的私密照片。据这份杂志声称，这些照片是由iRobot的Roomba J7系列的开发版拍摄的。 iRobot是全球最著名的自动吸尘器供应商之一，该公司证实，这些照片是由其Roombas在2020年拍摄的，这是产品开发过程的一部分。 这些照片由Roomba拍摄，然后发送给Scale AI，Scale AI将这些照片用于人工智能开发，并最终通过识别更多的物体和障碍物来帮助iRobot改进产品。在这个案例中，Scale AI的许多零工人员没有尊重隐私协议，在社交媒体的私人群组中分享了吸尘器拍摄的照片。 让我看看你的房子，就能告诉你需要什么 2022年8月，亚马逊宣布有意收购iRobot，在监管机构对市场竞争和隐私的担忧加剧之际，这笔交易引发了人们对亚马逊可能收集哪些数据以及如何使用这些数据的忧虑。2023年7月，欧盟委员会宣布对这笔交易进行正式调查，以了解这笔交易是否会给亚马逊这样的公司带来巨大的市场优势；也就是说，收集到的照片是否可能用于改进自发购买建议和基于真实个人数据的更精准广告。 比如说，自动吸尘器可以根据你设定的清扫时间表了解你的日常作息。同样，保存下来的房屋平面图显示了房屋的大小和设计，这可以表明用户的收入水平及生活条件方面的其他信息。当然，数据泄露可能会暴露用户住所的图片，包括识别用户是谁以及住在哪里的方法。 自动吸尘器实施冷战式的间谍活动？ 受到自冷战以来一直使用的窃听技术的启发，新加坡国立大学和马里兰大学的计算机科学家在2020年开展的研究使用了自动吸尘器的导航系统，并将其转换成激光麦克风。 这样一来，如果你的房间里有自动吸尘器之类的东西，就有可能记录下生成的压力波所引发的振动变化，这些变化最终可以被转换，从而可以侦听在这个房间里进行的对话。 智能设备功能越强大，对用户的了解就越深入 最新版本的自动吸尘器通常会保留一张用户房子的地图，可以通过智能手机应用程序来操控，其中许多型号还配备语音控制功能，通常与亚马逊Alexa或谷歌助手兼容。大多数智能功能来自摄像头、传感器和麦克风。 如果你想要一部注重隐私的自动吸尘器，不妨考虑那些依赖结合陀螺仪和加速度计的惯性测量的型号。原因很简单：这种设备不需要摄像头、激光或地图就能工作。然而，缺点是它们移动起来效率不如高端型号，可能会反复穿过用户家中的某些区域。  说到使用手机控制吸尘器，请使用安全的移动应用程序而不是语音控制。  购买新的智能吸尘器之前应考虑的几个要点 •一些型号可以在离线状态下运行，没有远程控制或清扫时间表等功能；另一些型号则需要经过特别设置，才不会向吸尘器制造商的服务器发送数据。 •许多吸尘器也可以被禁止进入某些房间，比如卧室或浴室。这可以通过设置或使用虚拟墙屏障来完成。  •在购买新的自动吸尘器之前，还要了解一下制造商。应选择那些支持数据加密，要求使用双因素身份验证才能访问吸尘器移动应用程序的那些型号。 •选择一家定期更新移动应用程序和吸尘器固件的供应商。 •始终要核查所购产品的使用寿命，预计将在多长时间内获得制造商的支持。 以隐私换便利 智能自动吸尘器的发展历程就是人们拿隐私换便利的一个例子。智能设备功能越强大，它们被允许收集的数据就越多，它们就越会侵入我们的生活。因此，指望每个人都确保隐私完好的可能性比较小。 然而，对于那些更看重隐私和数据保护而不是便利的人来说，避免被监视的最好方法是坚持使用老式的非智能设备。使用标准的吸尘器可能需要更多的时间来完成周末清扫，但至少它不会拍下你坐在马桶上的照片。 不过，如果你仍然觉得自动吸尘器太方便而无法避免，那么有选择性地进行设定设置是对你的隐私保持某种控制的一个方法。

近年来，医院和诊所等医疗保健领域一直在与一系列的网络攻击作斗争，计算机中断和数据泄露导致重要文件的丢失，使它们甚至无法提供最基本的服务。 电子邮件安全公司Proofpoint周三发布的最新研究报告显示，大约有90%的医疗机构在过去的一年中至少遭遇过一次网络安全事件。 在过去的两年时间中，超过半数的医疗机构表示他们平均经历过四次勒索软件攻击，68%的受访机构指出，这些攻击对患者安全和护理造成了很大的负面影响。 Proofpoint公司的上述报告是通过对美国医疗保健行业的650多名IT和网络安全专业人员进行调查得出的结论，这个结论显现了医疗保健行业对常见攻击方法的持续易感性。网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）正致力于为那些资金不足、不断遭受网络攻击的小型乡村医院提供更多援助。 最近一些医疗机构在努力寻找过时技术的替代品以继续提供服务，但是这些努力也在耗费着越来越多的社会资源。在2022年至2023年期间，网络安全防护的时间成本上升了50%，从约66万美元增至100万美元。 医院内部系统遭受勒索软件攻击、计算机网络关闭的情况下，这样的影响是迅速而广泛的。 佛蒙特大学医疗中心总裁兼首席运营官斯蒂芬-勒夫勒（Stephen Leffler）在9月份的国会听证会上讲述了2020年10月勒索软件攻击如何给他的医院带来了灾难。在长达 28 天的时间里，资深医生不得不培训初级医生如何使用纸质病历，而国民警卫队则协助IT部门全天候清除和重新配置了网络中的每台计算机。 Leffler说，我们真的去Best Buy买了他们所有的对讲机。这是因为他们基于互联网的电话系统一直处于脱机状态。2022年至2023年期间，病人的护理成本增长了50%，从约66万美元增至100万美元，网络攻击比大流行病要难治得多。

随着网络攻击面的扩大、供应链攻击的频繁发生以及向云的转移，数据安全比以往任何时候都更加重要。根据IBM Security 发布的2023 年数据泄露成本报告， 2023 年全球数据泄露平均成本达到 445 万美元，创下历史新高。 在本文中，您将了解数据安全的主要原则，并了解适用于大多数行业的 10 种数据安全最佳实践。 数据威胁和维护数据安全的好处 什么是数据安全？ 数据安全是旨在保护组织敏感资产的流程和工具的组合。有价值的数据在静态和传输过程中都必须受到保护。安全官员应考虑的数据安全的其他方面是安全的数据创建和使用。 有效的数据安全措施包括实施实时监控并对任何可疑事件快速做出反应，使您的数据能够抵御欺诈活动。 为什么数据安全如此重要以至于当局和监管机构不断提出新的数据安全要求？ 强大的数据安全性的主要好处 让我们看一下组织中高级数据安全性的主要优势： 1. 保护信息— 了解您的信息受到保护，免受内部和外部威胁，可以让您高枕无忧。因此，您将有更多时间专注于业务策略，而不必担心数据泄漏。2. 增强声誉——寻求长期合作的组织和企业总是密切关注潜在合作伙伴的声誉。应用可靠的数据保护实践还可以激发客户的信任。 3. 遵守数据安全要求——实施适当的安全措施可以确保遵守数据安全要求。这将帮助您的组织避免因违规而遭受巨额罚款。 4. 减少诉讼 费用——预防事件发生总是比处理事件后果更具成本效益。您在数据安全上花费的时间和精力越多，用于控制潜在事件并从中恢复的费用就越少。 5. 增强业务连续性——强大的数据安全实践有助于不间断运营，降低业务中断的风险，从而降低收入损失。 哪些数据需要保护？ 要了解哪些数据面临风险，我们首先看一下最常被盗的数据类型： 您组织的敏感数据必须根据您所在行业和司法管辖区的相关法律法规进行保护。 在下表中，您可以看到一些最常被泄露的敏感数据类型以及管理其保护的法律、标准和法规： 需要考虑的其他 IT 标准包括NIST 800-53、NIST 800-171和ISO 27000 系列。 企业数据面临的主要威胁 没有任何系统能够 100% 免受错误配置、内部威胁和网络攻击的影响。组织的敏感数据可能会丢失、损坏或被错误的人获取。 以下是组织的数据或系统可能面临的主要威胁： 在本文中，我们重点关注内部人为威胁，因为甚至许多外部网络攻击也可能仅由于员工的行为而发生——根据Verizon 的2023 年数据泄露调查报告， 74% 的数据泄露都包含人为因素。 为了了解数据如何被泄露，让我们回顾一下内部人员造成的数据泄露的几个例子： 人为错误和疏忽——合法用户可能由于网络安全方面的疏忽、注意力不集中、疲劳和其他人为因素而犯下各种错误。 2021 年春季，达拉斯警察局的一名员工意外删除了超过 800 万个文件。该数据对于 17,000 多起暴力案件至关重要。被删除的信息包括 23 TB 的音频、视频、照片和案例说明。 恶意内部人员——内部用户可能为了自身利益而故意窃取、损坏或销毁组织的数据。 2021年1月，宾夕法尼亚州Elliott Greenleaf律师事务所的四名律师窃取了他们公司的大量文件。经过四个月的周密规划，数据已转移到他们的云帐户中。被盗数据包含该公司的工作产品、记录、信件、诉状和客户群。 权限滥用——具有提升权限的用户可能会进行各种类型的敏感数据滥用或不当数据处理。 2021 年 4 月，Proofpoint 的一名销售主管将公司数据上传到他的 USB 拇指驱动器，并据称将被盗数据转移给该公司的竞争对手 Abnormal Security。这些数据包括重要的贸易信息和竞争策略。 第三方威胁— 数据安全威胁可能来自有权访问组织敏感数据的合作伙伴、供应商和分包商。第三方也可以成为外部攻击者的中间人，就像在某些供应链攻击中一样。 2021 年 5 月，沙特阿美公司 1 TB 的数据因受影响的第三方供应商而泄露。攻击者索要 5000 万美元的赎金以换取被盗数据。 上述所有威胁都可能危及您的敏感数据并扰乱您的业务运营： 但是，如果您及时发现并响应数据安全威胁，则可以有效减轻其后果。 如何保护组织的敏感数据？ 为了回答这个问题，我们来看看保护数据的关键方法。根据Gartner 的说法，保护数据的四种主要方法是： 1. 加密——防止未经授权的人员读取您的数据。 2. 屏蔽——通过用随机字符替换敏感信息来抑制或匿名化高价值数据。您还可以用低价值的代表代币替换数据；这种方法称为标记化。 3. 数据擦除——涉及清理不再使用或不再活动的数据存储库。 4. 数据弹性 —涉及关键数据的完整备份、差异备份和增量备份。将有价值的数据存储在不同位置有助于使其可恢复并能够抵御不同的网络安全威胁。 现在，是时候研究强大的数据安全背后的基本原则了。 核心数据安全原则和控制 机密性、完整性和可用性构成了CIA 三要素，这对于确保强大的数据保护至关重要： 保密性——保护数据免遭未经授权的访问。 完整性——数据可靠且正确，敏感信息受到保护，防止非法更改。 可用性——所有合法用户都可以轻松访问数据。 为了遵守这三个原则，组织需要称为数据安全控制的实用机制。这些是预防、检测和响应威胁您宝贵资产的安全风险的对策。 我们下面的 10 项数据安全最佳实践涵盖了这些控制措施以及数据安全标准、法律和法规的主要合规性要求。 适合您组织的 10 大数据安全最佳实践 虽然不同的企业、地区和行业可能需要不同的数据保护实践，但我们选择了适合大多数组织的最佳实践。如果您想知道如何确保组织的数据安全，请遵循以下十大数据保护最佳实践。 现在，让我们详细讨论每种数据保护技术。 1. 定义您的敏感数据 在实施安全措施之前考虑检查您的数据： 首先，评估数据的敏感性。数据敏感度分为三个级别： 低敏感度数据——公众可以安全地查看或使用，例如网站上发布的一般信息。 中等敏感度数据——可以在组织内部共享，但不能与公众共享。如果发生数据泄露，不会造成灾难性后果。 高度敏感的数据——只能与有限的内部人员共享。如果受到损害或破坏，可能会对组织产生灾难性影响。 检查您的数据可见性级别。您是否始终可以查看或查看与您的敏感数据相关的所有操作？如果没有，请多注意做法 6、8 和 10。 遵守这些做法可以帮助您确定优先顺序并专注于最需要保护的信息。 2. 制定网络安全政策 第二项任务是组织所有网络安全机制、活动和控制措施以形成工作策略。通过实施数据安全策略，使您组织的人力和技术资源有效支持您的数据安全工作： 为您的数据使用政策创建管理组织敏感数据的规则。它应包含员工、利益相关者和第三方处理数据时的指南。 对数据实施基于风险的方法。评估与组织中数据使用相关的所有风险以及数据弱点。然后，首先关注最高的风险。 定期数据库审计可帮助您了解当前情况并为进一步的数据防御设定明确的目标。它们允许您跟踪所有用户操作并随时查看详细的元数据。 应用适当的补丁管理策略。这是修补公司环境内或代码中的漏洞的步骤和规则列表。定期进行补丁并相应地记录所有操作。 彻底解雇员工，从监控和记录员工对关键资产的活动和操作，到完全撤销访问权限。 此外，考虑任命一名数据保护官(DPO)，他将： 控制数据安全要求的合规性 就数据保护措施提出建议 处理员工、提供商和客户之间与安全相关的投诉 处理安全故障 3. 制定事件响应计划 事件响应计划规定了及时处理网络安全事件并减轻其后果的行动。您可以参考HIPAA、NIST 800-53、PCI DSS以及其他设定事件响应要求的标准、法律和法规。不要忘记： 定义 安全事件、它们的变化以及它们对您的组织造成的后果的严重性 选择 负责处理事件的人员 进行 安全审核，根据以前的事件改进您的计划，并列出您的组织可能面临的事件的扩展列表 制定 沟通计划以及发生事件时应通知的当局列表 此外，创建数据恢复计划以确保您的数据和系统可以在可能的事件发生后快速恢复。 4. 确保数据存储安全 在实施其他数据保护实践之前，请确保数据在各个级别都安全存储： 小心存储包含数据的物理介质。使用防水和防火的存储介质很重要。此外，使用锁闩钢门和保安装置保护您的数据。 此外，请特别注意如何借助现代技术保护数据。我们已经讨论过备份、加密、屏蔽和确认擦除作为安全存储文件的四种主要数据安全方法。 考虑部署USB 设备管理工具来保护设备上存储的所有数据。保护移动设备上的信息和通过可移动存储设备共享的数据。不要忘记能够对包含敏感数据的设备上的可疑活动提供可见性和通知的解决方案。 5. 限制对关键资产的访问 以彻底保护数据访问为出发点： 物理访问 控制通过数据库的锁定和回收、视频监控、各种类型的报警系统和网络隔离来保护对数据服务器的访问。他们还应确保从移动设备和笔记本电脑连接到服务器、计算机和其他资产的安全访问。 控制所有数据访问点，并通过生物识别和多因素身份验证实现高效的身份管理。密码管理可帮助您自动创建和轮换密码，并提高入口点的安全性。 您还可以通过采用最小特权或即时特权访问管理 (JIT PAM)原则来降低内部风险，该原则为在有限时间内真正需要特定任务的用户提供特权访问权限。 不要忘记从任何设备和端点安全地访问最关键的数据。远程工作和混合工作模式的持续趋势导致对安全访问管理解决方案的需求不断增加。 6.持续监控用户活动 考虑使用用户活动监控(UAM) 解决方案来增强组织的可见性。对所有有权访问敏感信息的员工进行全面实时监控还可能包括： 随时查看与敏感数据相关的任何用户会话并接收有关异常用户活动的警报的能力可以帮助您保护与关键资产的交互。这样，您将有更大的机会避免代价高昂的数据泄露。 7. 管理第三方相关风险 监控 IT 基础设施内第三方用户的行为至关重要。第三方可能包括合作伙伴、分包商、供应商、供应商以及有权访问您的关键系统的任何其他外部用户。即使您信任第三方，他们的系统也有可能容易受到黑客攻击和供应链攻击。 除了监控第三方供应商在本地和云端的会话之外： 确保 您清楚地了解第三方环境，并定义控制和处理数据的工作人员 与第三方服务提供商签署服务级别协议（SLA） 要求定期问责，以确保维持数据安全标准 与您的供应商合作提高共同安全 8.特别关注特权用户 请记住，特权用户拥有更高的权限来访问和更改组织的敏感数据。特权帐户和会话管理 (PASM)功能用于完全控制特权帐户的访问以及监视、记录和审核特权帐户的会话。 考虑实施五个核心 PASM 功能： 特权帐户可能会因数据处理不当、特权滥用或数据误用事件而构成最大的内部威胁。但简单的解决方案和严格的控制可以减轻大部分风险。 9. 对所有员工进行数据安全风险教育 教育您的员工如何安全地处理公司资产以及如何识别恶意软件和社交工程尝试非常重要。 不要忘记提供新的培训，以提供有关最新数据威胁形势的最新信息。另外，考虑为新员工提供入门培训。定期对员工和学员进行教育至关重要。 根据以人为本的数据安全方法，员工在威胁缓解过程中发挥着重要作用。知识可以显着减少与人员相关的数据泄露，并使安全措施对您的员工更加明显。 10.部署专用数据安全软件 考虑部署专门的数据保护解决方案来控制敏感数据的安全。实施安全软件时，优先考虑具有以下功能的解决方案： 用户活动监控 自动访问管理 安全事件通知 审计和报告 密码管理 此外，您可能需要确保从一处查看各种类型的设备和端点。部署太多不同的工具和解决方案并不总是有效，因为它会减慢 IT 和安全管理流程、增加开支并使维护复杂化。 结论 数据安全旨在保护数据在创建、存储、管理和传输过程中的安全。内部人员可能会故意违反安全规则、数据处理不当或帐户遭到泄露，从而给组织的数据带来风险。

研究人员研发的人工智能算法，可检测到针对军用无人驾驶车辆的中间人攻击。 机器人操作系统（ROS）是高度网络化的，机器人之间需要协作，其中的传感器、控制器等需要通信并通过云服务交换信息，因此极易受到数据泄露和电磁劫持攻击等网络攻击。中间人攻击（MitM）是一种可以拦截和篡改两方通信数据的网络攻击，中间人攻击可破坏无人驾驶车辆的操作、修改传输的指令、甚至控制和指导机器人进行危险的动作。 机器人系统可以从不同层面进行攻击，包括核心系统、子系统、子组件，引发使机器人无法正常工作的操作问题。澳大利亚南澳大学（University of South Australia）和查尔斯特大学研究人员研发了一种可以检测和拦截针对军用无人机器人的中间人攻击的人工智能算法，使用机器学习技术检测中间人攻击，并在几秒钟内就可以阻断攻击。 图为中间人攻击可以攻击的不同节点 检测针对针对无人驾驶车辆和机器人的中间人攻击极其复杂，因此这些系统都在容错模式下运行，区分正常操作和错误条件非常困难。研究人员研发了一个机器学习系统，可以分析机器人的网络流量以检测尝试入侵机器人系统的恶意流量，系统使用基于节点的方法，仔细检查包数据，使用基于流统计的系统来从包头读取元数据，使用深度学习卷积神经网络（CNN）来增强检测结果的准确性。 图为测试中使用的机器人 研究人员使用GVR-BOT机器人进行了测试，实验表明可以成功阻断99%的中间人攻击，假阳性率小于2%。 图为传感器数据（攻击从300秒开始） 图为性能测试结果 研究人员称该系统经过改进可以用于其他机器人系统，如无人机系统。与陆地机器人相比，无人机之间的通信更加快速和复杂。 相关研究成果发表在CCF-A类期刊 IEEE Transactions on Dependable and Secure Computing，论文下载地址https://ieeexplore.ieee.org/abstract/document/10210500

10月12日，微软发布新的人工智能漏洞奖励计划，重点关注人工智能赋能的Bing服务，单个漏洞最高奖励15000美元。该漏洞奖励计划将人工智能技术赋能的Bing相关服务纳入范围，安全人员可以向该漏洞奖励计划提交以下服务和产品中的漏洞： 1.浏览器上访问bing.com的人工智能相关的Bing体验，主要包括 Bing Chat、Bing Chat企业版、Bing Image Creator； 2.嵌入微软Edge浏览器(Windows)的人工智能赋能的Bing服务，包括Bing Chat企业版； 3.嵌入微软Start应用的人工智能赋能的Bing服务，包括iOS和安卓版； 4.嵌入微软Skype Mobile应用的人工智能赋能的Bing服务，包括iOS和安卓版。 与Bing相关的在线服务相关漏洞属于M365漏洞奖励计划，新发布的漏洞奖励计划主要关注人工智能系统，包括引发以下结果的漏洞： 1.在用户边界改变Bing聊天行为，比如改变人工智能行为以影响其他用户； 2.通过修复客户端或服务器可见配置来调整BIng的聊天行为，包括修改调试和行为标记； 3.绕过与跨会话内容和历史删除相关的Bing的安全保护； 4.泄露Bing的内部机制和提示词、决策过程和机密信息； 5.绕过Bing聊天模式会话中的限制和规则。 只影响攻击者、模型Hallucination(幻觉)攻击、不准确或保护性的聊天回复等不属于漏洞奖励计划的奖励内容。符合漏洞奖励计划的漏洞根据漏洞类型、漏洞质量、漏洞影响，将获得2000到15000美元的奖励。 微软称，已通过17个不同的漏洞奖励计划向345名安全研究人员发放1380万美元的漏洞奖励，涵盖1180个漏洞。 更多参见微软官方网站：https://www.microsoft.com/en-us/msrc/bounty-ai

作为我国工业和信息化领域的主管部门，工业和信息化部一直致力于推动数据安全的发展建设，维护国家信息安全。日前，工信部积极响应政策号召，组织开展2023年工业和信息化领域数据安全典型案例遴选工作，旨在通过本次遴选工作的开展，总结和推广行业内最佳实践，发挥优秀案例示范引领作用，进一步提升我国在数据安全领域的国家竞争力。 本次遴选工作面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、企业应用效果良好的案例，树立行业标杆、扩大产业影响，促进数据安全产品、应用和服务的示范推广，全面推动数据安全能力建设和创新发展。坚持“以点带面、点面结合”原则，将案例划分为“工业领域”“电信和互联网领域”进行征集，每个领域遴选“四方向、十类型”数据安全典型案例。四个方向具体包括：数据安全基础共性方向、数据安全监测分析方向、数据安全体系整体设计实施方向以及其他方向。 以下为通知原文： 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，有关中央企业，部内相关司局： 为贯彻落实《中华人民共和国数据安全法》及《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》，充分发挥典型案例在数据安全产业发展中的示范引领作用，切实增强工业和信息化领域数据安全保障水平，现组织开展2023年工业和信息化领域数据安全典型案例遴选工作。有关事项通知如下： 一、工作目标 面向工业领域、电信和互联网领域组织开展数据安全典型案例遴选，按照技术先进、特点突出的原则，挖掘行业广泛认可、企业应用效果良好的案例，树立行业标杆、扩大产业影响，促进数据安全产品、应用和服务的示范推广，全面推动数据安全能力建设和创新发展。 二、工作组织 工业和信息化部统筹推进案例遴选工作，组织开展形式审查、专业初审和专家评审，并协调解决案例遴选过程中的重点难点问题。各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，以及有关中央企业（以下统称推荐单位）负责本地区、本企业数据安全典型案例的推荐及上报等工作。 三、申报要求 （一）申报主体 案例申报接受单独或联合申报，申报主体或联合申报牵头主体须为数据安全典型案例的实际应用方，包括从事电信、互联网、工业等生产运营单位。联合申报主体数量不得超过三家，可以包含专业从事数据安全工作的企业、高校和科研院所等。所有申报主体应具有独立法人资格，具备一定的数据安全实践经验和创新能力，在安全、信誉和社会责任等方面无不良记录。 （二）申报方向 坚持“以点带面、点面结合”原则，将案例划分为“工业领域”“电信和互联网领域”进行征集，每域遴选“四方向、十类型”数据安全典型案例。具体包括： 1.数据安全基础共性方向 ——数据分类分级类案例：面向数据资产管理、重要数据识别需求，结合行业属性或特征，能够对数据进行智能化、精准化识别、归类和定级，并建立体系完备、动态更新的数据资产清单的案例。 ——数据脱敏类案例：在数据全生命周期流转过程中，应用智能化、自动化数据脱敏手段，能够实现敏感数据的自动识别、脱敏，并保证脱敏数据覆盖全面、完整可用的案例。 ——数据加密类案例：在数据全生命周期流转过程中，利用校验技术、密码技术、安全传输通道或安全传输协议，能够有效解决数据监听、窃取、篡改等安全问题的案例。 ——数据攻击检测类案例：采用攻击行为监测、异常流量监测、数据有效性校验、关键网络节点处检测等技术，应用数据防勒索、数据库防火墙等手段，建立攻击行为事前防御、事中监测和事后响应防护机制的案例。 ——数据防泄露类案例：面向网络数据防泄露、终端数据防泄露、存储数据防泄露和云数据防泄露等场景，运用监测数据采集、异常行为数据处理、异常行为分析告警等技术，建立规则和模型引擎，实现安全告警与实时响应的案例。 2.数据安全监测分析方向 ——数据安全监测感知类案例：面向数据流量异常、数据访问操作异常、数据接口调用异常等安全风险，采用风险识别与事件监测相结合的综合研判技术，探测发现威胁企业的数据安全事件，并提供完整追溯取证证据链，实现协同联动的数据安全态势感知、风险监测预警和应急处置的案例。 ——数据溯源类案例：面向数据提供、公开、出境等重点环节，利用数据标识、水印等溯源技术，保障数据流通共享过程中的完整性、可追溯性，实现安全事件发生后泄露源头追查和责任判定的案例。 3.数据安全体系整体设计实施方向 ——整体设计实施类案例：围绕组织架构、管理制度、技术措施，从数据资产管理、数据权限管理、数据风险识别和监测、数据安全事件处置、数据安全运维等方面建立一体化数据安全能力，实现数据安全防护整体协同、效率提升、成本可控的案例。 4.其他方向 ——电信和互联网领域隐私计算类案例：利用安全多方计算、联邦学习、可信执行环境等技术，在保证隐私数据安全的前提下，能够联合多个参与方利用数据进行计算分析，促进数据有序流通和共享，释放数据价值的案例。 ——汽车数据安全保护类案例：针对车外人脸信息匿名化处理、座舱数据车内处理和处理个人信息显著告知等三项保护要求，形成技术、产品、服务一体化解决方案，提升汽车数据安全管理能力的案例。 （三）申报条件 申报案例须为已验收投入使用、具备成熟体系架构和稳定运行效果的数据安全技术、产品和服务解决方案。同一申报主体申报领域和方向不限，最多申报三个案例，每个类型限制申报一个案例，同一案例不能重复申报。对于已列入工业和信息化部相关案例的，不可重复申报。 四、推荐要求 各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门负责所属地区工业领域数据安全典型案例推荐工作，数量原则上不超过10个。工业领域推荐案例在体现所属地区行业特色发展优势的基础上，应尽量涵盖钢铁、有色、石化化工、汽车、民用飞机、民用船舶、纺织、电子信息制造、软件和信息技术服务等重点行业。 各省、自治区、直辖市通信管理局负责所属地区电信和互联网领域数据安全典型案例推荐工作，数量原则上不超过5个。有关中央企业负责本集团数据安全典型案例推荐工作，数量原则上不超过5个。 推荐案例需按优先级顺序进行排列。 五、工作安排 （一）征集推荐 推荐单位组织本地区、本企业的数据安全典型案例申报活动，审核把关申报材料并签署推荐意见，重点关注申报主体及范围是否符合要求，申报材料是否完整、真实、全面，申报流程是否规范等，于2023年10月31日前将推荐汇总表、案例申报书和电子版光盘等材料（一式三份，模板见附件）报送至工业和信息化部（网络安全管理局）。 （二）形式审查 工业和信息化部成立案例遴选工作组，统筹开展典型案例形式审查工作，核验推荐材料的完备性、规范性等。 （三）专业初审 案例遴选工作组结合技术领域、应用场景、应用效果，对通过形式审查案例的行业典型性、代表性及申报单位生产经营状况等进行初步评审。 （四）专家评审 案例遴选工作组组织专家对通过形式审查和专业初审的典型案例进行评审，形成2023年工业和信息化领域数据安全典型案例名单。 六、联系方式 联系人及电话： 牛晓璇 15810353636（微信同号） 邮箱：[email protected] 附件： 1.工业和信息化领域数据安全典型案例推荐汇总表 2.工业和信息化领域数据安全典型案例申报书 工业和信息化部办公厅 2023年9月27日 温馨提示： 查阅“附件1—2”，请访问工业和信息化部网站（www.miit.gov.cn）“政务公开—文件发布”栏目。 来源：工业和信息化部网络安全管理局

据9月27日报道，一家专门从事人工智能（AI）产品的公司 OpenAI 创建了一个聊天机器人，它可以浏览网络并将最新信息纳入答复。 据OpenAI公司称，该聊天机器人已经可以在互联网上浏览最新的信息，此前，它只能通过人工智能的帮助，利用截至到 2021 年 9 月的数据去进行学习。现在利用此举，一些高级用户可以向聊天机器人询问时事问题、查看新闻。 OpenAI 在公告中也表示，该功能将很快向非高级用户开放，但并未具体说明这是否意味着没有高级订阅的用户也能使用 GPT-4，或是说 GPT 3.5 订阅用户也能使用该功能。 过去，这一人工智能系统是根据 2021 年 9 月以前的数据进行训练的，不久之后，OpenAI 打算将这项服务扩展到包括非付费用户在内的所有用户，让每个人都能利用这项服务。据OpenAI称，ChatGPT现在配备了浏览功能，允许用户执行技术研究、做假期计划或选择需要最新信息等任务。 作为浏览功能的一部分，ChatGPT还创建了一个可安装在 Chrome 浏览器上的扩展，其名为 "Browser with Bing"。有趣的是，ChatGPT 迄今最大的竞争对手——谷歌的 Bard 也推出了一个扩展，允许免费使用必应浏览网页。 ChatGPT Plus 和企业版用户可以使用该功能，用户也可以通过进入应用内的 "设置"，选择 "新功能" 选项，然后从选项列表中选择 "使用必应扩展浏览" 来使用该功能。 这让 ChatGPT 的许多用户欣喜，因为他们希望用最新的信息来使用 ChatGPT 的功能。 必应 iOS 和 Android 移动应用程序的聊天机器人也已更新了新功能，可以使用语音和图像功能进行操作，这将允许用户与聊天机器人进行对话，并根据他们所说的内容获得相应的答复。 关于其功能，新的整合功能与谷歌今年 3 月开发并推出的聊天机器人 "巴德"（Bard）类似。"巴德"从 5 月份开始整合，但由于担心它可能允许用户绕过付费政策然后在两个月后被禁用。ChatGPT 不大可能接触到攻击者在互联网上植入的，传播有关政治或医疗保健问题的错误信息的材料，因为它无法接触到此类信息。 ChatGPT 的新功能凸显了人工智能商业领域在发展过程中所面临的各种困境。人工智能系统需要更加灵活自由，才能真正发挥作用，然而，这也增加了被误用的可能性，以及交换误导或错误信息的可能性。 ChatGPT 应用程序现在可以与包括 Slack 和 Zapier 在内的各种应用程序进行集成，通过与 Google Sheets、Gmail 和 Trello 的集成来提高工作效率。基于 Python 的实验插件可提供更复杂的功能，用于处理更复杂的任务，如破译代码、管理数据分析和可视化数据。 除此之外，它现在还能管理下载和上传、更改文件类型，以及解决可能出现的数值和定性数学问题。为了实现这些功能，OpenAI 已经与多个合作方建立了合作关系，这其中包括 Fiscal Note、Instacart、Klarna、Milo、Kayak、OpenTable、Shopify、Slack 和 Zapier 等等。OpenAI 计划在第一版技术问题得到解决后，向部分用户提供了最新版本。

拉扎罗斯集团（Lazarus Group）是一个与朝鲜有关的黑客实体，最近在针对西班牙一家航空航天公司的网络间谍攻击活动中被发现。此次发生的攻击事件是名为 " Operation Dream Job" 的更广泛的鱼叉式网络钓鱼活动的一部分，其攻击方式是以诱人的工作机会吸引潜在的具有战略意义的员工，从而进行整个感染过程。 在媒体最近分享的一份技术报告中，ESET 安全研究员揭示了这次攻击的来龙去脉。在今年 3 月发生的一起事件中，这家斯洛伐克网络安全公司发现了一次针对 Linux 用户的攻击，通过利用虚假的汇丰银行工作机会部署了一个名为 SimplexTea 的后门。 此次最新的入侵攻击是针对 Windows 系统设计的，其目的是安装一个名为 LightlessCan 的后门程序。研究员强调了这一有效载荷的重要性，同时也强调了它的复杂性，并表示与其前身 BLINDINGCAN 相比有了很大的进步，BLINDINGCAN 也被称为 AIRDRY 或 ZetaNile，是一种多用途的恶意软件，并且能够从被入侵的主机中提取敏感的数据。 攻击的过程如下：受害者在 LinkedIn 上收到了一个自称是 Meta Platforms 的假冒招聘人员发来的信息。该招聘人员要求发送两个验证码并谎称是正常招聘流程所需要的，最终说服受害者执行托管在第三方云存储平台上的恶意文件（名为Quiz1.iso和Quiz2.iso）。 ESET 指出，这些 ISO 文件包含了恶意的二进制文件（Quiz1.exe 和 Quiz2.exe），它们被受害者下载并在公司的设备上进行执行，这也导致了系统被入侵以及企业网络被攻破。 这次攻击为接下来的使用名为 NickelLoader 的 HTTP(S) 下载器创造了条件。这样，攻击者就可以在受害者的计算机内存中部署任何想要的恶意程序，其中包括LightlessCan远程访问木马和被称为miniBlindingCan（又名AIRDRY.V2）的BLINDINGCAN变种。 LightlessCan 可支持多达 68 种不同的命令，其中有43 种命令在其当前版本中可用，与此同时，miniBlindingCan 则主要侧重于传输系统信息和从远程服务器下载文件， 该攻击活动的一个值得注意的特点是使用了部分防护措施，可以防止有效载荷被解密并在目标受害者以外的机器上运行。 研究员强调说，LightlessCan模拟了大量本地Windows命令的功能，从而能够在系统后台静默执行，而不是直接在控制台输出内容来执行。这种攻击方式的转变增强了隐蔽性，使检测和分析攻击者的活动更具有挑战性。 最近几个月，Lazarus 集团和其他来自朝鲜的威胁集团异常活跃。根据卡巴斯基的说法，他们的攻击横跨各个领域，包括印度的制造业和房地产、巴基斯坦和保加利亚的电信公司，以及欧洲、日本和美国的政府、研究和国防承包商等。

谷歌、AWS和Cloudflare三家公司周二发布公告称，它们阻止了据称有史以来最大的DDoS攻击。 这次攻击是由一个新的DDoS漏洞（编号为CVE-2023-44487）引起的，涉及HTTP/2协议，用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所（NIST）官网上的漏洞页面介绍说到：“HTTP/2协议之所以允许拒绝服务（服务器资源消耗），是由于请求取消可以快速重置许多请求流。” 作为多方协调披露的一部分，谷歌云、亚马逊网络服务（AWS）和Cloudflare都发布了博文和公告，提供了有关这条DDoS攻击途径的更多技术信息。在谷歌发布的两篇博文中的一篇中，这家科技巨头称之为“迄今为止最大的DDoS攻击，峰值时期每秒超过3.98亿个请求。” 在Cloudflare的技术分析博文中，它追踪到峰值时期每秒超过2.01亿个请求，几乎是之前观察到的创纪录攻击的三倍。 Cloudflare的两名工程师Lucas Pardue和Julien Desgats写道：“令人担忧的是，攻击者仅用2万台机器组成的僵尸网络就能发动这等规模的攻击。现在的僵尸网络由数十万乃至数百万台机器组成。考虑到整个互联网通常每秒只出现10亿到30亿个请求，可想而知，使用这种方法可以将整个互联网的请求都集中在少数目标上。” 在另一篇博文中，谷歌的两名工程师Juho Snellman和Daniele Iamartino专门介绍了这起攻击和攻击途径的工作原理。他们写道，这次名为Rapid Reset（“快速重置”）的攻击持续了几个月，在8月份达到了高峰。 博文作者说道，自2021年底以来，谷歌服务遭到的大多数应用层或第7层DDoS攻击基于HTTP/2，“无论从攻击数量来看还是从峰值请求速率来看”。 谷歌表示，HTTP/2攻击之所以占主导地位，是由于这种协议能够以多路并发“流”的方式处理请求，而不是像HTTP/1.1那样需要按顺序处理请求。正因为如此，HTTP/2攻击能够执行的并发请求数量比利用旧协议的攻击多得多。 就快速重置DDoS而言，攻击客户端“像在标准的HTTP/2攻击中一样，一次性打开大量的请求流，但客户端不是等待服务器或代理对每个请求流作出响应，而是立即取消每个请求。” 更多的技术细节可以在谷歌、Cloudflare和亚马逊的博文中找到。 谷歌认为，其负载均衡基础设施“基本上”在其网络的边缘设法阻止了快速重置攻击，防止任何中断。亚马逊表示，AWS在“短短几分钟内”确定了攻击的性质，其CloudFront内容分发网络自动化解了攻击。 与此同时，Cloudflare表示，它看到了502错误和请求数量激增，但通过改变其技术堆栈和技术故障中详细说明的缓解措施，迅速做出了反应。 关于缓解措施，谷歌表示，阻止单个请求还不够，一旦发现滥用情况，就需要关闭整条TCP连接，更广泛的缓解包括跟踪分析连接统计数据以及基于各种信号为GOAWAY帧类型的内置HTTP/2缓解优先考虑连接。这三家供应商还都实施了另外的内部检测和缓解措施。 Pardue和Desgats在Cloudflare的博文中警告，CVE-2023-44487和快速重置攻击的风险普遍存在。他们写道：“由于攻击滥用了HTTP/2协议的底层弱点，我们相信任何实施了HTTP/2的供应商都将受到攻击。这包括每一台现代Web服务器。” Forster说：“组织必须将事件管理、打补丁和完善安全保护措施变成一种持续的过程。针对每个漏洞变体的补丁降低了风险，但并不总是完全消除风险。在这种情况下，Cloudflare开发了专门的技术以缓解零日漏洞的影响。”

近日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）联合发布了一份网络安全咨询报告，以强调大型组织中最常见的网络安全配置错误，并详细介绍了威胁行为者滥用这些错误配置的战术、技术和程序（TTPs）。 通过NSA和CISA红蓝团队的评估，以及NSA和CISA捕获和事件响应团队的活动，这些机构确定了以下10个最常见的网络安全配置错误： 1. 软件和应用程序的默认配置； 2. 用户/管理员权限的不当分离； 3. 内部网络监控不足； 4. 缺乏网络分段； 5. 补丁管理不善； 6. 系统访问控制的绕过； 7. 弱或误配置的多因素认证（MFA）方法； 8. 不充分的网络共享和服务的访问控制列表（ACLs）； 9. 糟糕的凭证卫生； 10. 无限制的代码执行。 这些配置错误说明了许多大型组织——包括那些具有成熟网络态势的组织的系统性漏洞和攻击风险，凸显了软件开发商采用“设计即安全”（secure-by-design）原则的重要性和紧迫性。 以下是每项配置错误以及威胁行为者用于滥用这些错误配置的战术、技术和程序（TTPs）的详细介绍。 1. 软件和应用程序的默认配置 系统、服务和应用程序的默认配置可能允许未经授权的访问或其他恶意活动。常见的默认配置包括： （1）默认凭据； （2）默认业务权限和配置设置； 默认凭证 许多软件开发商发布的商用现货（COTS）网络设备（通过应用程序或web门户提供用户访问）包含内置管理帐户的预定义默认凭据。恶意行为者和评估团队经常通过以下方式滥用默认凭证： （1）通过简单的网络搜索查找凭证，并使用它们获得对设备的身份验证访问； （2）通过可预测的忘记密码问题重置内置管理帐户； （3）利用默认的虚拟专用网（VPN）凭据进行内部网络访问； （4）利用公开可用的设置信息来识别web应用程序的内置管理凭据，并获得对应用程序及其底层数据库的访问权限； （5）利用软件部署工具上的默认凭证进行代码执行和横向移动。 除了提供网络访问的设备外，打印机、扫描仪、安全摄像头、会议室视听（AV）设备、互联网协议语音（VoIP）电话和物联网（IoT）设备通常还包含默认凭据，可以轻松地在未经授权的情况下访问这些设备。使问题进一步复杂化的是，打印机和扫描仪可能加载了特权域帐户，以便用户可以轻松地扫描文档并将其上传到共享驱动器或通过邮件发送。使用默认凭证访问打印机或扫描仪的恶意行为者，可以使用加载的特权域帐户从设备横向移动并破坏域。 默认业务权限和配置设置 默认情况下，某些服务可能具有过于宽松的访问控制或漏洞配置，此外，即使提供者默认不启用这些服务，如果用户或管理员启用了这些服务，恶意行为者也可以很容易地滥用这些服务。 评估小组发现了以下常见情况： （1）不安全的Active Directory证书服务； （2）不安全的遗留协议/服务； （3）不安全的SMB（Server Message Block）服务； 不安全的Active Directory证书服务 ADCS（Active Directory Certificate Services）是一项用于管理Active Directory（AD）环境中的PKI证书、密钥和加密的功能，ADCS模板用于为组织网络中不同类型的服务器和其他实体构建证书。 恶意行为者可以利用ADCS和/或ADCS模板配置错误来操纵证书基础结构，以颁发欺诈性证书和/或将用户特权重新升级为域管理员特权，这些证书和域升级路径可能授予参与者对系统和关键数据的未经授权的持久访问，冒充合法实体的能力，以及绕过安全措施的能力。 不安全的遗留协议/服务 许多易受攻击的网络服务在默认情况下是启用的，并且评估团队已经观察到它们在生产环境中也是启用的。具体来说，评估小组观察到链路本地多个名称解析（LLMNR）和NetBIOS名称服务（NBT-NS），它们是Microsoft Windows组件，作为主机识别的替代方法。如果在网络中启用了这些服务，参与者可以使用欺骗、中毒和中继技术来获取域散列、系统访问和潜在的管理系统会话，恶意行为者经常利用这些协议来破坏整个Windows环境。 不安全的SMB（Server Message Block）服务 SMB服务是一个Windows组件，主要用于文件共享，它的默认配置不需要签名网络消息以确保真实性和完整性。如果SMB服务器不强制SMB签名，恶意参与者就可以轻松使用machine-in-the-middle（MitM）技术，例如NTLM中继来实施攻击。此外，恶意参与者还可以将缺乏SMB签名与名称解析中毒问题结合起来，无需捕获和破解任何散列就可访问远程系统。 2. 用户/管理员权限的不当分离 管理员通常会为一个帐户分配多个角色，这些账户可以访问各种各样的设备和服务，允许恶意行为者通过一个受感染的账户快速移动网络，而不会触发横向移动和/或特权升级检测措施。 评估小组观察到以下常见的帐户分离错误配置： （1）过度的账户特权； （2）提升的服务帐户权限； （3）非必要的特权帐户使用； 过度的帐户特权 帐户特权用于控制用户对主机或应用程序资源的访问，以限制对敏感信息的访问或执行最小权限安全模型，当帐户权限过于宽松时，用户可以看到和/或做他们不应该看到和/或做的事情，这成为一个安全问题，因为它增加了风险暴露和攻击面。 提升的服务帐户权限 应用程序通常使用用户帐户来访问资源，这些用户帐户称为服务帐户，通常需要更高的权限。当恶意行为者使用服务帐户危害应用程序或服务时，他们将拥有与服务帐户相同的特权和访问权限。 恶意行为者可以利用域内提升的服务权限来获得对关键系统的未经授权的访问和控制。服务帐户是恶意行为者的诱人目标，因为这些帐户通常被授予域内的高级权限，由于这些因素，kerberos（通过破解服务帐户凭证实现的一种凭证访问形式）是一种用于控制服务帐户目标的常用技术。 非必要的特权帐户使用 IT人员使用域管理员和其他管理员帐户进行系统和网络管理，因为这些帐户本身具有较高的权限。当管理员帐户登录到受感染的主机时，恶意行为者可以窃取并使用该帐户的凭据和AD生成的身份验证令牌，使用提升的权限在整个域中移动，使用高级帐户进行日常的非管理任务会增加帐户的暴露，从而增加其被泄露的风险。 3. 内部网络监控不足 有些组织没有为流量收集和终端主机日志配置最佳的主机和网络传感器，这些不充分的配置可能导致未被发现的对抗性妥协。此外，不适当的传感器配置限制了增强基线开发所需的流量收集能力，并降低了对异常活动的及时检测。 评估小组在被评估的网络中发现了不充分的监控问题。例如： （1）评估小组观察了一个组织，该组织有基于主机的监控，但没有网络监控。基于主机的监控通知防御团队单个主机上的不良活动，网络监控则通知穿越主机的恶意活动。在本例中，该组织可以确定受感染的主机，但无法确定感染来自何处，因此无法阻止未来的横向移动和感染。 （2）评估团队获得了对具有成熟网络态势的大型组织的持续深入访问。组织没有检测到评估团队的横向移动、持久性和C2活动。 4. 缺乏网络分段 网络分段用安全边界分隔网络的各个部分，缺乏网络分段使得用户网络、生产网络和关键系统网络之间没有安全边界，不充分的网络分段允许威胁参与者在各种系统中横向移动。此外，缺乏网络隔离使组织更易受到潜在的勒索软件攻击和后利用（post-exploitation）技术的攻击。 IT和OT环境之间缺乏分段会使OT环境处于危险之中。例如，评估小组经常通过寻找特殊目的、被遗忘的、甚至是意外的网络连接，获得对OT网络的访问权限——尽管这些网络先前保证是完全气隙的，不可能与IT网络连接。 5. 补丁管理不善 供应商发布补丁和更新来解决安全漏洞，糟糕的补丁管理和网络卫生实践通常使攻击者能够发现开放攻击向量并利用关键漏洞。薄弱的补丁管理包括： （1）缺乏定期修补； （2）使用不支持的操作系统和过时的固件； 缺乏定期修补 未能应用最新补丁可能会使系统暴露于公开可用的漏洞，由于它们很容易被发现——通过漏洞扫描和开源研究——并被利用，从而导致这些系统沦为攻击者的直接目标。允许关键漏洞保留在生产系统上而不应用相应的补丁会显著增加攻击面，组织应该优先修补其环境中已知的被利用的漏洞。 使用不支持的操作系统和过时的固件 使用供应商不再支持的软件或硬件会带来重大的安全风险，因为新的和现有的漏洞不再修补，恶意行为者可以利用这些系统中的漏洞获得未经授权的访问，破坏敏感数据并执行破坏性操作。 6. 系统访问控制的绕过 恶意行为者可以通过破坏环境中的替代身份验证方法来绕过系统访问控制。如果恶意行为者可以在网络中收集哈希，他们可以使用非标准的方式使用哈希传递（pass-the-hash，PtH）来利用这些哈希进行身份验证，通过模仿没有明文密码的帐户，攻击者可以在不被发现的情况下扩展和提升他们的访问权限。使用kerberos也是在组织网络中提升特权和横向移动的最省时方法之一。 7. 弱或误配置的多因素认证（MFA）方法 智能卡或令牌配置错误 一些网络（通常是政府或国防部网络）要求账户使用智能卡或令牌，多因素需求可能会配置错误，因此帐户的密码哈希值永远不会更改。即使不再使用密码本身（因为需要智能卡或令牌），帐户的密码散列仍然可以用作身份验证的替代凭据，如果密码哈希值永远不会改变，一旦恶意行为者获得了帐户的密码哈希值，那么只要该帐户存在，该行为者就可以通过PtH技术无限期地使用它。 缺乏抗网络钓鱼特性的MFA 某些形式的MFA容易受到网络钓鱼、“推送轰炸”、利用SS7协议漏洞和/或“SIM卡交换”技术的攻击，如果这些尝试成功，可能允许威胁参与者获得访问MFA的身份验证凭证，或绕过MFA并访问受MFA保护的系统。 8. 不充分的网络共享和服务的访问控制列表（ACLs） 数据共享和存储库是恶意行为者的主要目标，网络管理员可能错误地配置ACL，以允许未经授权的用户访问共享驱动器上的敏感或管理数据。 攻击者可以使用命令、开源工具或自定义恶意软件来查找共享文件夹和驱动器。 （1）在一次入侵中，一个团队观察到攻击者使用网络共享命令（显示本地计算机上共享资源的信息）和ntfsinfo命令来搜索受感染计算机上的网络共享；在同一次攻击中，攻击者使用了自定义工具CovalentStealer，该工具旨在识别系统上的文件共享，对文件进行分类，并将文件上传到远程服务器。 （2）勒索软件参与者使用SoftPerfect网络扫描器，netscan.exe（可以ping计算机，扫描端口，并发现共享文件夹）和SharpShares来枚举域中可访问的网络共享。 然后，恶意行为者可以从共享驱动器和文件夹中收集和泄露数据。接下来，他们可以将这些数据用于各种目的，例如勒索组织或在制定进一步网络入侵计划时作为情报。评估团队通常会在网络共享中发现敏感信息，这些信息可能会促进后续活动或提供敲诈勒索的机会，评估团队能够很轻松地找到包含服务帐户、web应用程序甚至域管理员的明文凭据的驱动器。 9. 糟糕的凭证卫生 糟糕的凭据卫生有助于威胁参与者获得用于初始访问、持久性、横向移动和其他后续活动的凭据，特别是在未启用抗网络钓鱼MFA的情况下。糟糕的凭据卫生行为包括： （1）易破解的密码； （2）明文密码暴露； 易破解的密码 易破解密码是指恶意行为者可以使用相对便宜的计算资源在短时间内猜出的密码，网络上容易被破解的密码通常源于缺乏密码长度（即短于15个字符）和随机性（即不是唯一的或可以猜测的）。 在评估过程中，评估团队顺利破解了NTLM用户、Kerberos服务帐户票证、NetNTLMv2和PFX存储的密码散列，使团队能够提升权限并在网络内横向移动。在12小时内，一个团队破解了活动目录中80%以上的用户密码，获得了数百个有效凭据。 明文密码暴露 以明文形式存储密码存在严重的安全风险，可以访问包含明文密码的文件的恶意行为者可以使用这些凭证在合法用户的伪装下登录到受影响的应用程序或系统。在这种情况下，由于任何系统日志都会记录访问应用程序或系统的有效用户帐户，因此失去了可问责性。 恶意行为者会搜索文本文件、电子表格、文档和配置文件，以求获取明文密码。评估团队经常发现明文密码，允许他们快速升级模拟入侵。 10. 无限制的代码执行 如果允许未经验证的程序在主机上执行，则威胁参与者可以在网络中运行任意恶意有效负载，恶意参与者通常在获得对系统的初始访问权限后执行代码。例如，在用户落入网络钓鱼骗局之后，攻击者通常会说服受害者在其工作站上运行代码，以获得对内部网络的远程访问权限。这些代码通常是一个未经验证的程序，没有合法的目的或商业理由在网络上运行。 评估团队和恶意参与者经常以可执行文件、动态链接库（DLL）、HTML应用程序和宏（办公自动化文档中使用的脚本）的形式利用不受限制的代码执行，来建立初始访问、持久性和横向移动。此外，参与者经常使用脚本语言来模糊他们的行为，并绕过允许列表——组织在默认情况下限制应用程序和其他形式的代码，只允许那些已知和可信的代码。此外，攻击者可能会加载易受攻击的驱动程序，然后利用驱动程序的已知漏洞，以最高级别的系统权限在内核中执行代码，从而完全破坏设备。 缓解建议 NSA和CISA鼓励网络防御者实施本咨询的“缓解”部分中的建议（包括以下内容），以减少恶意行为者利用已识别的错误配置的风险。 （1）删除默认凭证并加固配置； （2）禁用未使用的服务并实施严格的访问控制； （3）定期更新并自动化补丁过程，优先修补已知且已被利用的漏洞； （4）减少、限制、审计和密切监控管理帐户和权限。 NSA和CISA还敦促软件开发商通过采用“设计即安全”策略来提高客户端的安全性，具体缓解措施建议包括： （1）从开发开始到整个软件开发生命周期（SDLC），将安全控制嵌入产品架构中； （2）消除默认密码； （3）免费为客户提供高质量的，详细且易于理解的审计日志； （4）为特权用户强制实施多因素认证（MFA），并将MFA作为默认而非可选功能，理想情况下可以防范网络钓鱼。 NSA和CISA推荐组织利用特定于企业的MITRE ATT&CK框架映射的威胁行为来演练、测试和验证组织的安全计划。此外，还建议测试组织现有的安全控制清单，以评估它们对建议中描述的ATT&CK技术的性能。

2023年8月21日，安全研究人员兼HackerOne顾问委员会成员Corben Leo在社交媒体上宣布，他侵入了一家汽车公司，随后发布了一则帖子，解释如何获得了数百个代码库的访问权限。 图1 Corben参加了由这家汽车制造商发起的漏洞悬赏计划。漏洞悬赏是众多行业一种非常普遍的做法，旨在奖励道德黑客发现问题并以负责任的方式报告问题，这种做法久经时间的考验，为许多公司带来了显著的效果。与此同时，有报道称与其他行业相比，汽车制造商支付的漏洞赏金往往少得多。 就本文这个案例而言，这家汽车公司给出了合理的奖励，Corben也有合理的动机去发现和报告这个可能引发危机的漏洞。Corben在帖子中阐述了其攻击方法。简而言之，通过反复试错，他找到了所谓的入站控制器，这其实是用于Kubernetes环境的负载均衡器，通过蛮力攻击，操纵主机报头，他发现了一个错误配置的Spring Boot Actuator（Sprint Boot框架的子项目），该Actuator使用HTTP端点来公开运行应用程序方面的操作信息，他发现的端点是' /env '和' /heapdump '端点。这时候凭据登场亮相了。 图2 ' /env '端点拥有经过适当编辑处理的密码，这意味着进入了死胡同，然而，' /heapdump'端点含有存储在内存中的应用程序对象的快照，暴露了明文格式的凭据。在搜索关键字仅仅几分钟后，他就找到了oauth2凭据，他利用这些凭据访问了一个之前发现的config-server实例；同样由于另一个错误配置的Spring Boot Actuator，他找到了另一组' /env '和' /heapdump '端点。 不过这一回，'/env'端点没有编辑凭据。Corben现在有了GitHub代码库管理员的私钥和密码，这个管理员可以访问30多个GitHub组织，并对数百个代码库拥有读写访问权。 图3 如果不道德的黑客先发现了这个漏洞，这家汽车公司可能会泄露其所有的私有代码库或遭到勒索，正如我们所看到的，不是所有的公司都这么幸运，包括三星、英伟达、微软和优步。 剖析出了什么岔子？ 这个场景涉及多个问题：错误配置、暴露的明文密码和范围确定。 错误配置是攻击者最好的朋友 虽然我们不能确定这家汽车公司的DevOps团队是如何部署其基础设施的，但很有可能他们会使用基础设施即代码（IaC），比如Terraform、Crossplane或CloudFormation。IaC有一些重大的优点，因为配置可以快速地进行版本控制和审查，使整个环境具有极大的可扩展性。然而，最大的缺点之一是代码中的错误配置可能意味着相同的问题推广到整个环境中的每个实例，这可能就是相同的错误配置出现在多台服务器上的原因。 在流程的早期测试错误配置，是确保它们不会出现在生产环境中的最佳方法，GitGuardian的客户使用gghield用于IaC扫描已有很长一段时间了。现在，我们通过新的基础设施代码安全模块将相同的这项扫描功能添加到GitGuardian平台，客户可以在仪表板上看到100多次自动扫描的结果，并协调修复过程。 无论你如何部署基础设施（手动部署还是通过IaC部署），都要确保添加了审查过程来覆盖常见的场景，我们还鼓励IaC方面刚入手的读者了解《WASP云原生应用程序十大安全漏洞》（https://owasp.org/www-project-cloud-native-application-security-top-10/?ref=blog.gitguardian.com），知道测试时应该留意什么漏洞。 暴露密码 到目前为止，我们希望每个人都知道以明文形式存储密码是个坏主意，然而我们也知道，进入到公共GitHub代码库的暴露密码数量每年都在增长。在本文，我们确实看到了为确保机密（secrets）安全而花费心思的证据，因为Corben遇到的初始' /env '端点确实拥有经过编辑的凭据，然而，他们忽略了' heapdump '端点中的日志文件。 检查任何地方的机密至关重要，不仅仅是所编写的代码中的机密，还有代码生成的任何文件（包括日志）中的机密，这就是ggshield（GitGuardian CLI）可以扫描任意文件或路径查找机密的原因之一。手动审查日志的代码可能会发现明文凭据的存在，但是始终使用工具进行测试的团队更容易及早发现问题，如果他们清理了那个端点上的日志，这将是内容全然不同的社交媒体帖子。 超级管理员凭据 Corben发现的GitHub凭据不仅授予对单个私有代码库的访问权，甚至还授予对单个私有组织的访问权，他报告自己获得了对30多个组织和数百个代码库的访问权限，需要这种级别的跨组织协作可能有其合理的理由。然而，这感觉像是有人使用根用户凭据来处理所有事情，安全界的共识是始终致力于实现零信任架构，并运用最小特权原则。 Mackenzie Jackson在其文章《管理和存储包括API密钥和其他凭据在内的机密的最佳实践》中讨论了最小权限的这个原则，所有凭据都应该严格限定在其预期目的范围内，只授予完成特定任务所需的最小权限，创建一个只能访问非常特定的代码库的新用户可能是一条更好的途径，这意味着Corben将拥有一些访问权限，但无法访问密钥。 漏洞悬赏和安全研究的重要性 实际上，互联网上的每个应用程序都在不断地接受安全测试。问题就在于谁在测试，以及测试的目的是什么，我们一直在与攻击者玩猫捉老鼠的游戏，总是试图比对方领先一步。参与漏洞悬赏计划、雇用渗透测试人员来发现和利用应用程序和环境中的漏洞，这些都是确保你在攻击者之前发现问题的好方法。 外头有很多道德黑客等着与你合作，帮助你确保安全，如果你正在寻找有关漏洞悬赏平台方面的更多信息，请查看HackerOne、Bugcrowd或Open Bug Bounty，这是三个最受欢迎的平台。你也可以看看Jason Haddix最近的安全代码库播客（https://open.spotify.com/episode/2270puN1UHeeC7qkvaiaMo?ref=blog.gitguardian.com），他畅谈了自己作为漏洞赏金猎人和育碧（UbiSoft）CIO的经历，保证你的应用程序和客户的安全是一个过程。 我们可以从这个例子及其他例子中汲取很多教训。本文提醒我们在确定凭据的范围时应遵循最小特权原则，不要添加明文形式的密码，并进行测试，以确保我们的基础设施即代码没有错误配置，无论你在通往更安全的道路上处于哪个阶段，我们都鼓励你不断学习，努力保持安全。